Tror du att dina samtal och sms är säkra? Tänk om.
Ofarliga enheter har länge maskerats som celltorn i ett försök att fånga upp data från mobila enheter.
Men vid veckans (virtuella) Black Hat skisserade Cooper Quintin, Senior Staff Technologist på Electronic Frontier Foundation, ett sätt att upptäcka dessa falska basstationer och erbjöd förslag på hur man helt och hållet skulle kunna använda dem.
Allt gammalt är nytt igen
Falska celltorn har varit en grundpelare i Black Hat och säkerhetsforskning i flera år.
Traditionellt fungerade attacken så här: den dåliga killen sätter upp en mobil cellstation, som en Femtocell, och fastnar sedan 3G- och LTE-banden.
Detta tvingar närliggande telefoner att ansluta via 2G, som använder ett trasigt krypteringssystem.
När telefonerna ansluter kan angriparen se allt som rör sig till och från offrets telefoner.
Polis och andra brottsbekämpande organ gör detsamma med IMSI-fångare, som också simulerar mobiltorn och lurar enheter för att ansluta.
Användningen av dessa enheter har länge varit kontroversiell och höljt i hemlighet, men lite var känt om nyare enheter som riktade sig mot 4G LTE-banden.
"Vi hade helt enkelt ingen aning om hur de fungerade", sa Quintin idag.
Detta är viktigt inte bara för att 2G blir alltmer föråldrad, utan för att 4G erbjuder många säkerhetsförbättringar.
LTE-enheter använder till exempel bättre kryptografi och ansluter sig inte blindt till närliggande celltorn.
Att förstå hur LTE IMSI-fångare fungerade skulle belysa okända sårbarheter som kan finnas i systemet.
År 2019 tacklade EFF Technology Fellow Yomna N problemet och så småningom producerade en rapport som skisserade den teoretiska driften av en 4G IMSI-catcher.
I sin presentation visade Quintin hur de första sex stegen för att ansluta en mobil enhet till en basstation hände helt klart, och autentisering inträffade förrän det sjunde steget.
"Det var här drakarna var", sa han.
Under dessa inledande steg kan alla typer av viktig information extraheras från målenheten med en cellplatssimulator.
Det kan till och med lura offrets telefoner att använda en 2G-anslutning och återigen öppna överföringar till angriparen.
Det är viktigt att Quintin sa att om de inte kan dra av sin 2G-omkopplare, kan de nya cellplatssimulatorerna förmodligen inte fånga upp dina data.
Men nyare 4G IMSI-fångare kan spåra enheter och övervaka stora folkmassor, som de som finns vid protester.
Spåra tornen
Säkerhetsdon har redan släppt flera verktyg för att hitta falska celltorn.
Vissa förlitar sig på programvarudefinierad radioteknik, medan andra helt enkelt är smartphone-appar.
Men medan de är användbara är ingen tillräckliga för att fräsa ut nyare cellplatssimulatorer, sa Quintin.
Så EFF producerade sitt eget verktyg: Crocodile Hunter.
Varför namnet? "Stingray" är varumärket för en IMSI-fångare som marknadsförs för brottsbekämpning.
Det är också djuret som dödade Steve Irwin, TV-programmets stjärna Krokodiljägare.
Crocodile Hunter använder en Raspberry Pi och cirka 500 dollar i radioutrustning.
Installationen samlar in data om alla omgivande cellplatser och jämför sedan informationen med en öppen källkodsdatabas med kända celltorn.
Allt som är felaktigt markeras på en karta med en skalle.
Quintin betonade emellertid att bara för att något är avvikande betyder det inte att det är skändligt.
Misstänkta webbplatser hittades och undersöktes.
Om det visade sig vara fäst vid ett torn eller en byggnad var det förmodligen legitimt.
"Om det inte alls är en byggnad utan en omärkt skåpbil, så är det mer misstänksamt", säger Quintin.
En sak Crocodile Hunter inte kan göra är att kommunicera med de tvivelaktiga celltornen och med goda skäl - "EFF-advokater påpekade hjälpsamt att det skulle vara olagligt", förklarade Quintin.
Problemet är att Crocodile Hunter inte är licensierat av FCC för sådana operationer.
Det är synd, för det skulle ge forskare mycket mer information om de misstänkta cellplatserna.
En bättre framtid
Arbetet med Crocodile Hunter pågår och Quintin hoppas kunna förbättra detekteringsfunktionerna och sänka byggkostnaderna.
EFF har släppt all information om Crocodile Hunter på GitHub, där alla företagande forskare kan bygga sin egen version.
Tekniken används för närvarande i DC och New York, liksom i Latinamerika genom projektet Fake Antenna Detection (FADe), sa Quintin.
Även om det är bra och bra att upptäcka falska celltorn har Quintin ett öga på att göra det mycket svårare för någon att använda IMSI-fångare eller liknande tekniker för att övervaka människor.
Han uppmanade Apple och Google att tillhandahålla en växling så att användare som inte behöver använda 2G helt enkelt kan stänga av den i Android och iOS.
"Detta skulle eliminera de värsta missbruk som att nedgradera till 2G," sa han.
Quintin föreslog också att förautentiseringsmeddelandena för 4G (och, noterade han, 5G) antingen elimineras eller krypteras.
Tillverkare och standardgrupper, föreslog Quintin, borde också prioritera kundens integritet.
"Inget av dessa är idiotsäkra, och inget av dessa kommer att sluta [cell site simulators] helt, men vi gör inte ens absolut minimum, säger Quintin.
Ändå avslutades samtalet med en positiv not: "Med lite armbågsfett och lite politisk ansträngning kunde detta problem med IMSI-fångare lösas."
