Spoofing

Telenors mobilsvar kunne hackes og avlyttes i årevis: – Vi er veldig lei oss

Slik kunne hvem som helst ringe rett til kundenes mobilsvar, snoke på meldingene og endre velkomstmelding. Telenor bekrefter at de har vært sårbare for en kjent angrepsteknikk i minst 13 år.

Ingen vet hvor mange av Telenors to millioner mobilsvarkunder som kan ha blitt avlyttet.
Ingen vet hvor mange av Telenors to millioner mobilsvarkunder som kan ha blitt avlyttet. (Foto: Marius Jørgenrud)

Slik kunne hvem som helst ringe rett til kundenes mobilsvar, snoke på meldingene og endre velkomstmelding. Telenor bekrefter at de har vært sårbare for en kjent angrepsteknikk i minst 13 år.

Hei, dette er en Ekstra-sak som noen har delt med deg.
Lyst til å lese mer? Få fri tilgang for kun 235,- i måneden.
Bli Ekstra-abonnent »

Hvem som helst kunne ringe med falskt nummer, såkalt spoofing og rett inn til Telenor-kundenes mobilsvar.

Uten pinkode kunne man lytte på meldingene. Det var også mulig å endre velkomsthilsen. Avlytting av talepostkassen lot seg gjøre uten å legge igjen spor eller synlige tapte anrop.

Angrepsteknikken har vært offentlig kjent i minst 13 år. Likevel er det først nå at Telenor ble kjent med trusselen. Fredag i forrige uke ble «smutthullet» omsider stengt.

Smutthull

Les også

Egentlig skal det ikke være mulig å ringe fra utlandet til norsk mobilsvar, uten å bli møtt med krav om pinkode.

Rolv Hauge er ansvarlig for telekom-sikkerhet i Telenor Norge.

– Det er ikke slik at vi er generelt sårbare for spoofing. Det ville vært veldig amatørmessig. Metoden som ble identifisert her omgikk logikken som krever pinkode ved anrop fra andre nett. Det har vært et smutthull, som vi nå har sperret for, sier Hauge til digi.no.

Rolv R. Hauge, ansvarlig for telekom-sikkerhet i Telenor Norge.
Rolv R. Hauge, ansvarlig for telekom-sikkerhet i Telenor Norge. Foto: Telenor

Sårbarheten gjaldt anrop til Telenor-kunders mobilnummer. Hvis angriper utga seg for å ringe fra samme nummer. Man ringte da rett og slett «seg selv» og kom rett inn på talepostkassen.

– Man utnyttet en viderekoblingsfunksjon, som ble utløst ved å gjøre anrop mot sitt eget nummer. Hullet ble lukket fredag morgen klokken 06.17, bekrefter han.

Telenor kan takke sikkerhetsekspert Per Thorheim. Det var han som nylig gjorde teleselskapet oppmerksom på sårbarheten.

«Paris Hilton-trikset»

Allerede i 2006 ble metoden omtalt i norsk presse. Realitykjendis Paris Hilton ble den gangen anklaget for å ha mobilhacket sin eks-venninne, Lindsay Lohan.

Nettavisen nevnte både spoofcard.com, samt at forfalsket nummervisning er nok til å skaffe seg adgang til en persons telefonsvarer. At oppskriften fungerte like godt mot norske mobilabonnenter, ser ut til å ha gått hus forbi.

Amerikanske Spoofcard.com er en av flere betalingstjenester som tilbyr å forfalske nummeret du ringer eller sender tekstmeldinger fra.

Ingen enkel problemstilling

Alle operatører er sårbare for spoofing i den forstand at det er mulig å utgi seg for å være en annen abonnent enn den man egentlig er, ifølge Hauge.

– Det er ingen enkel problemstilling å håndtere. Det er noe vi jobber aktivt med, både på generelt nivå og mot enkeltkampanjer, sier han.

– Hvor mange Telenor-kunder kan ha blitt avlyttet?

– Vi regner med at det var et relativt begrenset antall. Utnyttelse var trolig en ganske målrettet aktivitet, sier Hauge som fortsetter:

– Metoden koster også litt penger, uten at det er noe vesentlig argument. Men man må ha en interesse av å prosessere innholdet man får ut. Det er ikke som å stjele kredittkortnummeret, passordet eller å skalere angrepet for å gjøre nytte av store mengder informasjon.

Sikkerhetssjefen bedyrer at Telenor ikke er blinde for at adgang til talepostkassen kan være ledd i angrep mot kundene.

– Det finnes eksempel der noen er på jakt etter taleoppleste engangskoder. En tjeneste på nettet lar engangskoder bli opplest av en syntetisk stemme av hensyn til synshemmede. Klarer man først å sørge for at opplesningen går til talepostkassen, for eksempel ved å ringe til offeret, for deretter å bryte seg inn med et spoofingangrep som dette, så kan det være ledd i angrep mot kundene, sier han.

Sårbar i årevis

Telenor vet ikke hvor lenge mobilabonnentene har vært sårbare for spoofing med avlytting av mobilsvar.

– Det er grunn til å tro at dette har vært mulig å gjøre i lang tid, sier Hauge.

Nøyaktig hvor mange år det er snakk om, er helt uvisst.

– Jeg kan si hvilke tiltak vi gjorde siden tjenester som spoofcard.com ble omtalt i 2006. Vi tar høyde for spoofing av opprinnelsesnummer fra denne eller andre tjenester, og har lagt på krav om pinkode på alt som kommer over interconnect (samtale overført fra utlandet). Du skal altså bli møtt med pinkode, men der hvor anropet går til eget nummer kan teknikken ha fungert i lang tid.

Slike angrep har etter alt å dømme fungert i minst 13 år, antakeligvis også mye lenger.

– Jeg har ingen informasjon som kan tilbakevise det. Det er ingen sterk grunn til å tro at det ikke går enda lenger tilbake, sier Hauge.

Drukner i robot-anrop

Misbruk og manipulasjon av telefonnumre er ingen ukjent problemstilling. Det er et globalt bransjeproblem, mener Hauge.

I USA er spoofing også koblet til det han kaller en svært plagsom praksis med såkalte «robocalls», som er maskinelle oppringninger, gjerne med lydopptak av reklame. 

USA rystes av en økende mengde telefonspam av denne typen. Amerikanerne tok imot 5,7 milliarder robocalls bare i forrige måned. Det tilsvarer et snitt på 182 millioner maskinelle oppringninger hver dag, eller 2.115 hvert eneste sekund, skriver Los Angeles Times.

Et tiltak for å bekjempe uvesenet er kalt STIR/SHAKEN. Enkelt forklart er dette en protokoll og standard for sertifikatbasert autentisering av hvem som ringer deg.

– Meg bekjent har ingen europeiske teleoperatørene begynt å implementere STIR/SHAKEN ennå. Det vil også være litt som med faksmaskinen – dette får først verdi når alle er med på leken, sier Rolv Hauge.

Selv om det i dag ikke er mulig å stole på anropets opprinnelse, så virker det uvisst om og når norske mobiloperatører vil være med på denne leken.

– Det foreligger ikke konkrete planer for støtte verken hos oss eller, så langt jeg kjenner til, noen andre norske operatører, konstaterer Hauge.

– Hva med å kreve pinkode for adgang til mobilsvar, uansett hvilket nummer som ringer?

– Ja, det pågår en vurdering av det nå. Men det er klart at det vil ha en stor brukervennlighetskonsekvens. Det å alltid kreve autentisering, med mindre kunden velger å skru det av, kan også være et alternativ, sier han.

Bekrefter brudd på GDPR

Les også

Som digi.no avslører i denne saken, har det vært mulig å avlytte mobilsvar til Telenor-kunder i svært mange år.

– Er dette et brudd på GDPR og personvernlovgivningen?

– Hvis det har forekommet tilgang, så er det det, sier Rolv Hauge i Telenor.

Telenors sikkerhetsekspert forteller at Nasjonal kommunikasjonsmyndighet (Nkom) er i kontakt med selskapet.

– Telenor vil rapportere til Nkom om dette avviket i henhold til anmodningen og innen fristen de har gitt, sier Hauge.

Vil ikke svare om andre land

Ifølge Per Thorsheim har Telenor også i andre land vært sårbare for akkurat det samme spoofing-angrepet.

Det gjelder ikke minst i Danmark, der Telenor og Telia samarbeider om felleseid eller delt infrastruktur for mobilnettet.

– Jeg kan ikke kommentere for Telenor Danmark eller andre land, svarer Rolv R. Hauge.

Flere operatører

Angrepet fungerte mot Telenors abonnenter i Norge, men også virtuelle operatører som benytter deres infrastruktur, så langt Per Thorsheim har sjekket.

– Det fungerer ikke mot Telias kunder, og ser ikke ut til å fungere mot ICE heller. Ei heller virtuelle operatører hos Telia er berørt. Jeg har testet dette mot norske Telenor-kunder også når jeg har vært i utlandet, og tilkoblet andre teleoperatører, og det har alltid fungert, opplyser Thorsheim til digi.no.

Har han rett i at også operatører som leier plass i Telenors mobilnett er berørt?

– Det kan jeg ikke kommentere på. Vi har to typer virtuelle operatører. Det er tjenesteleverandører som kjøper hele produksjonen fra oss på rot, så har du såkalte MVNO-er (mobile virtual network operators) som har deler av kjerneplattformen for telefoni i egen regi. Vi må i så fall komme tilbake til hvem som kjøper voicemail-tjenesten eller talepostkasse fra oss. I den grad det er produsert av oss har de vært like sårbare for denne omgåelsen, svarer Hauge i Telenor.

Ringe uten tapt anrop

Det å ringe direkte til mobilsvar er en funksjon Spoofcard skryter av. Da får ikke offeret noe tapt anrop, selv om man faktisk ringer til vedkommende. Hvordan er det mulig?

Etter det digi.no får opplyst, så skjer dette med et finurlig triks.

Funksjonen de tilbyr «direct to voicemail» foretar et ufullstendig samtaleoppsett, sånn at det mottakende nummeret blir stående som ikke-tilgjengelig. Det er en litt annen status enn opptatt.

Rent teknisk er vi her nede på detaljer i den såkalte signaliseringen hos teletilbyder. Det dreier seg om å koble opp to anrop rett etter hverandre med 50 millisekunders mellomrom.

Når det neste anropet i tillegg har satt A-nummeret lik som B-nummeret (samme telefonnummer for anroper og mottaker), så klarer man å komme til talepostkassen, uten at mottaker merker noe. Det skal være dette som gjør at offeret ikke får noe synlig tapt anrop.

– Vår jobb er å sørge for at det ikke er mulig

Hauge sier at han ikke er noen tilhenger av «security by obscurity». Han vil ikke løfte noen pekefinger mot aktørene som tilbyr slike spoofingtjenester.

– Så lenge det er mulig, kommer noen til å gjøre dette. Vår jobb er å sørge for at det ikke er mulig å utnytte. Her har noen kommet på en metode som likevel fungerte. Vi er veldig lei oss for det.

– Hvor alvorlig ser Telenor på at dere har eksponert kundene for en svært enkel overvåkningsmetode?

De kan ha tenkt på akkurat dette scenariet, eller så har de hatt flaks i rekkefølgen

– Vi ser svært alvorlig på det. Og det ligger litt i sakens natur, når vi har truffet de tiltakene vi har gjort for veldig mange år siden, for å hindre at man kan komme til talepostkassen ved hjelp av spoofing, men vi har altså ikke klart å hindre dette når spoofing kombineres med anrop til abonnentens eget nummer og dobbeltanrop for å unngå at det blir synlig.

– Men konkurrentene deres har klart å hindre det?

– Det vet vi ikke. Det avhenger av sjekkene i logikken. Om du har mulighet for å unngå valideringen. Om sjekk er lenger ut i sekvensen. De kan ha tenkt på akkurat dette scenariet, eller så har de hatt flaks i rekkefølgen på behandlingsreglene, sier Hauge.

Sporene er tapt for alltid

Telenors informasjonssjef Fredrik Tangeraas opplyser at det nå «pågår trafikkanalyser for å identifisere eventuelle forsøkt på misbruk» med nevnte spoofingteknikk.

– De analysene har vi ikke resultatene fra ennå. Det er svære datasett som kvernes, utdyper Hauge.

Telenor kan uansett ikke avdekke innbrudd i talepostkasser særlig langt tilbake i tid.

– Lovbestemmelser hindrer oss fra å ha slik informasjon i særlig lang tid. Det går på hjemmel i ekomloven knyttet til trafikkavvikling og fakturering. Når trafikken er avviklet må vi i løpet av kort tid slette dataene. For noe av trafikken er det snakk om bare noen uker. For faktureringsformål vil det typisk dreie seg om rundt tre måneder, sier han.

Dermed vil det være umulig å avdekke eldre innbrudd i kundenes talepostkasser.

– Ja, det vil være helt umulig, konstaterer Rolv R. Hauge.

2 millioner talepostkasser

Telenor Norge hadde i tredje kvartal 2.897.000 mobilabonnenter.

Mer relevant er det at Telenors talepostkasse-plattform hadde ganske nøyaktig 2 millioner brukere per juli 2019, noe som inkluderer også brukere hos andre tjenesteleverandører som Telenor produserer for.

Majoriteten av disse kan i teorien ha blitt avlyttet med mobilsvarhackingen vi omtaler i denne saken.

Bedriftskunder med tjenesten «mobilt bredriftsnett», som av noen også blir kalt virtuelt sentralbord, har ifølge Telenor ikke være sårbare. Det samme skal gjelde kunder med aktiv pinkode.

Les også

– Det er en mager trøst, men våre rundt 600.000 kunder med mobilt bedriftsnett, og kunder med aktiv pinkode har ikke vært sårbare for denne utnyttelsen, sier Hauge.

Aktiv pinkode er et valg kunder kan foreta ved å logge seg inn på «mine sider». Det gir økt beskyttelse for adgang til mobilsvar. Som denne saken viser, kan det være noe å vurdere.

Hvor mange har skrudd på dette? Det har ikke Hauge noe tall på for øyeblikket.

Les Per Thorsheims reaksjon: – Skremmende, sier Thorsheim etter å ha brutt seg inn i Telenor-kunders talepostkasse »

Kommentarer (0)

Kommentarer (0)
Til toppen