web-dev-qa-db-fra.com

Quel est le risque de fuite de numéros IMEI / IMSI sur un réseau

Dois-je m'inquiéter si un développeur a programmé une application pour lui renvoyer le numéro IMEI/IMSI du téléphone sur lequel l'application est installée? Que peut faire un attaquant avec de telles informations?

18
DaTaBomB

L'IMEI est un identifiant mondial unique pour le téléphone (l'élément matériel), tandis que l'IMSI est un identifiant mondial unique pour la carte SIM (il correspond donc plus ou moins à l'utilisateur humain qui en est propriétaire). Voir cette page . Les deux sont envoyés "tels quels" par voie hertzienne, et peuvent donc être obtenus par tout attaquant disposant d'une antenne et situés à proximité. La connaissance de l'IMEI et/ou de l'IMSI de certains utilisateurs ne donne pas de moyens supplémentaires pour s'introduire dans les communications de cet utilisateur; ce ne sont pas des valeurs secrètes.

Toutefois...

Il peut y avoir un léger problème de confidentialité concernant IMEI et IMSI, car ils permettent de "suivre" les habitudes des utilisateurs:

  • Une application peut générer un identifiant unique aléatoire à chaque fois qu'elle est installée sur un téléphone. Cependant, en utilisant l'IMEI, l'application peut dire si elle est re - installée sur un téléphone donné; il peut également être utilisé pour croiser le tableau des instances d'applications installées connues avec les emplacements des téléphones portables obtenus par écoute radio passive à partir d'une station de base.

  • L'IMSI "suit" l'utilisateur lorsqu'il change de téléphone (il transfère sa carte SIM de son ancien téléphone vers son nouveau téléphone).

Je peux imaginer une application qui est liée à un "compte" sur un serveur; l'utilisation de l'IMSI permet au serveur d'automatiser plus facilement la "reconnexion" de l'application lorsque l'utilisateur change de téléphone. Pour la même raison, les utilisateurs peuvent sentir que leur vie privée est violée dans la mesure où ils souhaitent pouvoir réinstaller leur application et/ou changer de téléphone pour "recommencer" avec un compte distinct qui n'est pas lié à leur propre compte.

Dans une large mesure, les utilisateurs peuvent considérer leur IMSI comme l'équivalent téléphonique de leur adresse e-mail. Une application qui envoie automatiquement l'IMSI à un serveur est autant un problème de sécurité ou de confidentialité qu'une application logicielle qui envoie automatiquement l'e-mail de l'utilisateur à un serveur distant; beaucoup de gens se sentiraient mal à l'aise avec ce dernier, et cela soulève la question de savoir pourquoi cela est fait en premier lieu.


Bien sûr, si une application fait quelque chose de stupide comme utiliser l'IMEI ou l'IMSI comme jeton d'authentification, par exemple une sorte de mot de passe pour accéder aux données sur un serveur distant, puis l'apprentissage de l'IMEI ou de l'IMSI ouvre l'accès à ces données. Mais c'est ce que vous obtenez lorsque vous utilisez des données non secrètes comme si elles étaient secrètes.

12
Thomas Pornin

Concernant la divulgation IMSI : Tout d'abord IMSI est le cœur de votre plan d'abonnement. Si l'attaquant connaît l'IMSI, la toute première conséquence est une violation de la confidentialité de l'emplacement. Cela signifie qu'en utilisant IMSI, vous pouvez essayer de trouver l'emplacement approximatif de la victime en exploitant les protocoles de signalisation tels que SS7. Ce type d'attaques peut être effectué simplement en connaissant le numéro de téléphone de la victime. Je vous recommande fortement de lire l'article " Locate- Trace -Manipulate " ou le résumé complet et détaillé selon ce thèse . Deuxièmement, connaître l'IMSI pourrait conduire à des attaques encore pires (dans le même contexte que SS7) pour intercepter vos appels, SMS messages, et bien d'autres).

Concernant la divulgation IMEI : IMEI est le cœur de votre combiné téléphonique. Il est principalement utilisé pour s'authentifier en termes d'activités criminelles afin de vérifier si un appel a été effectué à partir d'un combiné spécifique. Ainsi, dans le pire des cas, on peut utiliser l'IMEI d'une victime de manière astucieuse pour effectuer des activités cellulaires illégitimes.

Mais une chose intéressante à noter est que lorsque vous allumez votre téléphone pour la première fois (ou que vous éteignez le MODE VOL), l'IMEI sera envoyé afin que le réseau puisse vérifier que le combiné demandant des services cellulaires n'est pas un combiné volé. Pour ce faire, le réseau vérifie le numéro IMEI par rapport au registre d'identité d'équipement (EIR) afin de voir si le combiné est dans la liste noire.

Voyons maintenant ce que peut faire un attaquant en connaissant IMSI et IMEI: recherchez sur Internet "Débloquer les téléphones mobiles volés en utilisant les vulnérabilités SS7-MAP, qui exploite la relation entre IMEI et IMSI pour l'accès EIR. présentation , un attaquant peut débloquer les téléphones portables volés et en faire un combiné légitime sur le marché blanc des téléphones d'occasion.

P.S : Il y a beaucoup plus d'attaques utilisant IMSI et IMEI sur le réseau d'accès radio (RAN), c'est-à-dire l'interface aérienne.

7
kingmakerking

IMEI n'est pas une identité authentifiée de terminal mobile. Il peut être modifié pour usurper l'identité d'autres mobiles assez facilement. Considérez-le comme un équivalent d'adresse MAC. IMSI est une identité permanente authentifiée d'abonnement mobile. L'IMSI est facilement accessible par voie aérienne pendant la procédure d'attache initiale. Dans les procédures Network Attach suivantes, IMSI est remplacé par un pseudonyme, TMSI, que le mobile et le réseau peuvent mapper à IMSI. Cependant, une fausse station de base peut dominer le réseau cellulaire légitime et faire semblant de ne pas pouvoir mapper TMSI à IMSI. Dans ce cas, le mobile devra soumettre son IMSI. Connaître IMSI permet de suivre l'abonné.

1
Alec Brusilovsky

L'IMEI identifie votre équipement et l'IMSI identifie votre puce. En d'autres termes, ils peuvent tous deux être utilisés pour vous identifier ainsi que votre position actuelle, ce qui est une autre façon de dire qu'ils peuvent être utilisés pour dire que vous n'êtes pas dans l'emplacement X. Ces informations pourraient bien sûr être utilisées de nombreuses manières.

Les réseaux se comportent souvent différemment dans différents endroits (pays) en fonction de la modernité des réseaux, etc. Parfois, il y a un grand degré de variance dans la façon dont l'IMEI et l'IMSI sont passés.

L'IMEI et l'IMSI peuvent être utilisés en tandem avec d'autres données. La question de savoir si vous devez être concerné se résume à vos besoins de sécurité personnels.

Donc, pour répondre à votre question: une personne ayant des besoins de sécurité extrêmement élevés qui soupçonne ou sait qu'elle est ciblée, comme un diplomate, ferait mieux de prêter attention à tous les métacontents qui pourraient l'identifier. Oui, c'est dangereux et les téléphones, comme tout le monde le sait, ont tendance à contenir beaucoup d'informations personnelles importantes telles que des contacts, des photos, des messages SMS, etc.

Dans l'actualité, nous pouvons lire sur l'injection de logiciels malveillants qui peut se produire une fois qu'un téléphone a été identifié.

0
Patriot