Er zit een kwetsbaarheid in het mobiele netwerk van Vodafone, waardoor een gespreksdeelnemer kan worden "gekopieerd" zonder daarvan op de hoogte te zijn. Dat ontdekte PCM met behulp van twee ethische hackers. Vodafone kan de kwetsbaarheid bovendien niet zomaar dichten, al is er weinig risico dat die zomaar misbruikt kan worden.
De kwetsbaarheid zit in de TMSI-nummers die worden toegeschreven aan een telefoongesprek. Normaal gesproken is dat nummer uniek per gesprek, maar door de glitch in het netwerk van Vodafone kunnen er meerdere gesprekken onder één TMSI-nummer worden gestart. Daardoor zou een derde partij in theorie aan zo'n gesprek kunnen worden toegevoegd - mits die partij dan wel op hetzelfde netwerk zit via een man-in-the-middle-aanval.
IMSI > TMSI
Ieder sim-abonnement krijgt een IMSI ('International Mobile Subscriber Identity'), een universele standaard waarmee je een unieke identifier hebt voor jouw telefoonnummer.
Als een telefoon echter wordt ingeschakeld en verbinding maakt met een zendmast, wordt het IMSI-nummer vervangen door een TMSI ('Temporary Mobile Subscriber Identity'). Dat gebeurt om het onderscheppen van IMSI-nummers moeilijker te maken - anders is het namelijk mogelijk om meta-data van een telefoonnummer te onderscheppen.
Gesprekken zijn met een tijdelijk IMSI-nummer anoniem
Door een willekeurig tijdelijk TMSI te maken, is het niet mogelijk om het IMSI-nummer te onderscheppen vanaf een zendmast en zouden gesprekken in principe anoniem moeten zijn. Daar gaat het bij Vodafone echter mis.
Vodafone-TMSI niet uniek
Bij Vodafone is die TMSI helemaal niet zo uniek als de bedoeling is. Het blijkt mogelijk om één uniek TMSI-nummer twee keer in één telefoongesprek te zetten. Daarmee kunnen er in feite 3 mensen (of nog meer) tegelijk in een gesprek zitten: A + B + B.
Die 'extra' persoon kan daardoor met een gesprek meeluisteren, zonder dat de eerste twee dat weten. Wel moet de 'inbreker' daarvoor een conferentiegesprek aangaan, wat wel te zien is op het scherm. Vodafone zegt zelf dat dat ook niet mogelijk is, omdat er daarna nog een aantal extra encryptielagen zitten - al ontkennen de bronnen van PCM dat.
IMSI-catcher
Een aanvaller kan wel enkel alleen in zo'n gesprek komen met behulp van een IMSI-catcher, een apparaat dat te koop of zelf te bouwen is voor tussen de € 1,000,- en € 1,500,-. Met een IMSI-catcher is het ook al op andere manieren mogelijk om gesprekken af te luisteren, dus is deze nieuwe methode niet perse een groter gevaar voor gebruikers.
Ontdekking
De hack werd aanvankelijk ontdekt door twee ethische hackers (die zeggen bij 'het Genootschap van Krakende Alleenstaande Moeders' te zitten), die de bug 3 weken geleden bij Vodafone aanmeldden. Ze willen zelf anoniem blijven. De hackers wisten de bug te reproduceren samen met een redacteur van PCM, waardoor we in één gesprek met twee keer hetzelfde Vodafone-nummer konden aansluiten. De kwetsbaarheid komt alleen voor bij abonnementen, omdat je met prepaid-kaarten van Vodafone geen groepsgesprekken kunt starten.
Reactie van Vodafone
Vodafone erkent dat het kopiëren van een TMSI-nummer mogelijk is
Vodafone erkent in een reactie dat het inderdaad mogelijk is de TMSI-nummers te kopiëren, maar voegt daaraan toe dat "er daarna nog verschillende veiligheidslagen op het netwerk zitten", waardoor het daadwerkelijk afluisteren niet mogelijk zou zijn. Ook zegt Vodafone de bug zelf niet te hebben kunnen reproduceren. Er zou volgens hen nog een encryptielaag zitten waarmee vanaf een ander apparaat niet kan worden ingelogd. De hackers waarmee PCM samenwerkte zeggen echter dat dat niet klopt.
Abonnees
Vodafone heeft in Nederland 5,1 miljoen abonnees. Daaronder zitten ook de leden van de Eerste en Tweede Kamer. Daarover ontstond in 2013 nog commotie, toen verschillende politici klaagden over het gebruik van Vodafone door politici.