Stille SMS - You've Got Voicemail

Die Gedanken sind frei (Seyfried)

Aktuell vergeht kaum ein Tag, an dem in der bürgerlichen Presse nicht von Mobilfunküberwachung, „Stillen SMS“, Vorratsdatenspeicherung oder Funkzellenüberwachung zu lesen ist. Der folgende Text zeigt eine Möglichkeit zur Realisierung einer „Stillen SMS“ auf. Dabei soll nicht der rechtliche oder politische Rahmen einer solchen Überwachung mittels „Stiller SMS“ betrachtet werden, sondern der technische Hintergrund. Es ist wichtig zu betonen, dass dieser Artikel nur eine Möglichkeit einer „Stillen SMS“ aufzeigt – der Artikel soll nur ein Einstieg ins Thema sein.

 

 

Inhalt

 

Allgemeine Verortung

 

Auf dem diesjährigen Kongress des „Chaos Computer Club“ (CCC) haben Karsten Nohl und Luca Melette ein Vortrag mit dem Titel „Defending mobile phones“ [1] gehalten, in welchem die Referenten angeblich live eine „Stille SMS“ detektieren [2] konnten. Allerdings ist es relativ schwierig, detaillierte Informationen über „Stille SMS“ zu finden.

 

Beim einfachen Googlen zum diesem Thema finden sich viele Presseartikel oder Statements von PolitikerInnen über „heimliche Ortungsimpulse“ – so die behördliche Bezeichnung für „Stille SMS“. Diese leitet sich aus dem Ziel des Versandes der „Stillen SMS“ ab: durch die Geodaten der Orte, an denen die EmpfängerInnen die „Stillen SMS“ erhalten haben, können Bewegungsprofile erstellt werden. Auch ist oft zu lesen, dass „Stille SMS“ Service-Nachrichten seien, die eigentlich zu Wartungszwecken der Provider verwendet werden, oder Nachrichten, die simpel ausgedrückt keinen Textteil beinhalten. Über den Aufbau und die Funktionsweise der „Stillen SMS“ ist jedoch wenig im Internet zu finden. In diesem und kommenden Artikeln sollen mögliche Varianten von „Stillen SMS“ und deren Aufbau detalliert beschrieben und analysiert werden.

 


Was ist eine „Stille SMS"?

 

Bei unserer Recherche über die Funktionsweise von „heimlichen Ortungsimpulsen“ haben wir bisher zwei Varianten von „Stillen SMS“ identifiziert. Dies bedeutet jedoch nicht, dass eine dieser Varianten von den deutschen Repressionsbehörden genutzt wird. Es gibt sehr viele Möglichkeiten einem Mobiltelefon eine unendeckte Nachricht zu senden oder für die Betroffenen unbemerkt Verkehrsdaten zu erzeugen.


Die erste Variante bedient sich der Möglichkeit, eine SMS für einen „WAP-Push Content“ [3] an ein Mobiltelefon zu senden. Diese Art der Nachricht enthält ein Validitätsdatum, quasi ein Verfallsdatum, um zu verhindern, dass UserInnen veraltete Inhalte durch eine zu spät zugestellte SMS abrufen. In diesem Artikel wird jedoch eine andere Variante einer „Stillen SMS“ analysiert: You've Got Voicemail

 

 

Message Waiting Indication Status

 

Eine zweite Möglichkeit „Stille SMS“ zu versenden besteht darin, mit speziellen Nachrichten den „Message Waiting Indication Status“ (MWIS) auf einem Handy zu setzen. Der MWIS dient eigentlich dazu, NutzerInnen eines Handys über bestimmte Ereignisse informieren, etwa über den Empfang einer Voicemail, eines Faxes, einer Email oder ähnlichem.

 

In Deutschland wird die Funktion der Voicemail, soweit bekannt, nicht oder nur sehr selten verwendet. Grundsätzlich ähnelt der „Voicemail Service“ dem eines Anrufbeantworters oder einer Mailbox. Sobald eine neue Voicemail vorhanden ist, muss auf dem Handy kenntlich gemacht werden, dass eine neue Sprachnachricht abgehört werden kann. Dies geschieht in der Regel durch die Anzeige eines Tonband-Symbols.

 

 

 

Mit Hilfe des MWIS ist es aber nicht nur möglich, Symbole auf dem Display von Handys sichtbar zu machen, sondern die Symbole auch wieder zu entfernen, falls zum Beispiel die Nachricht durch die Empfängerin oder den Empfänger abgehört oder gelöscht wurde.


Genau dieser Mechanismus kann verwendet werden, um „heimliche Ortungsimpulse“ zu verschicken. Da Voicemails in Deutschland nicht oder nur sehr selten verwendet werden, sollte das Symbol für den Erhalt einer Voicemail dementsprechend nie oder nur selten zu sehen sein. Damit ist es möglich, einem Mobiltelefon regelmäßig eine Nachricht zu schicken, welche den MWIS für eine Voicemail zurücksetzt, ohne dass es für den Besitzer oder die Besitzerin erkennbar ist.

 


Bits und Bytes

Eine SMS wird von den meisten gängigen Handys im „Protocol Data Unit“-Format (PDU) [4] versendet und empfangen. Diese PDUs bestehen aus einer Aneinanderkettung von Bytes, wobei ein Byte als Hexadezimalzahl interpretiert wird. Die folgende schematische Darstellung zeigt eine empfangene SMS im PDU-Format.

Aufbau einer SMS:
-------------------------------------------------------------------------------------------
|SMSC-Nr   |PDU type |Sender's Nr |PID    |DCS    |Timestamp |UserData len |UserData      |
-------------------------------------------------------------------------------------------
|var bytes |1 byte   |var bytes   |1 byte |1 byte |7 bytes   |1 byte       |0 - 140 bytes |
-------------------------------------------------------------------------------------------


SMSC-Nr:
------------------------------
|len    |Nr Type |Nr of SMSC |
------------------------------
|1 byte |1 byte  |len * byte |
------------------------------


PDU type:
Among other things it indicates the status of the SMS (Submit or Deliver).

Sender's Nr:
--------------------------------
|len     |Nr Type |sender's Nr |
--------------------------------
| 1 byte |1 byte  |len * 1/2   |
--------------------------------

 

PID:
Protocol Identifier

Data Coding Scheme (DCS):
Type of coding, handling and storing the SMS

TimeStamp:
-------------------------------------------------------------------------
|YY     |MM     |DD     |hh     |mm     |ss     |time difference to GMT |
-------------------------------------------------------------------------
|1 byte |1 byte |1 byte |1 byte |1 byte |1 byte |1 byte                 |
-------------------------------------------------------------------------


User data length:
Length of the user data

User data:
The user data, like the text of the SMS or some other content

 

 

Data Coding Scheme

 

Die für den MWIS konzipierten Nachrichten benötigen nicht unbedingt Userdaten, da die Anweisung für den „Message Waiting Indication Status“ im „Data Coding Scheme“ (DCS) der Nachricht gespeichert wird. Auf der Webseite mobiletidings.com [5] werden einige Möglichkeiten zur Verwendung des MWIS genannt. In Bezug auf „Stille SMS“ sind aber nur folgende Werte für das DCS von Interesse:

  • 0xC0 – turn off voicemail (discard)
  • 0xC1 – turn off fax (discard)
  • 0xC2 – turn off email (discard)
  • 0xC3 – turn off other message (discard)

In dem bereits erwähnten Vortrag von Karsten Nohl auf dem 28C3 [1] soll mit einer modifizierten Variante der osmocomBB-Software [6] eine „Stille SMS“ erkannt worden sein. Bei der Untersuchung des Patches [7] für die osmocomBB-Software wird ersichtlich, dass die veränderte osmocomBB-Software namens „Catcher Catcher“ [2] lediglich überprüft, ob eine empfangene Nachricht im DCS Teil der PDU den Wert „0xC0“ aufweist und nur in diesem Fall von einer „Stillen SMS“ ausgeht und Alarm schlägt. Letztendlich kann aber jedes der vier Codings verwendet werden, um eine unbemerkte Nachricht zu verschicken, wenn der Sender oder die Senderin davon ausgehen kann, dass der jeweilige Dienst nicht genutzt wird.

 

 

Den Spieß umdrehen

 

Falls Deutsche Behörden wirklich „Stille SMS“ mittels eines 0xC0 Wert als DCS verschicken, könnten diese relativ einfach identifiziert werden. Es müsste lediglich eine SMS, welche das Symbol für eine neue Voicemail auf dem Display des Handy aktiviert, an ein zu überprüfendes Handy geschickt werden. Sobald das Symbol regelmäßig verschwindet (und regulär keine Voicemail-Funktionalität genutzt wird), kann davon ausgegangen werden, dass die Simkarte durch „Stille SMS“ getrackt wird. Im folgenden sind die Werte zur Aktivierung der Symbole des MWIS aufgelistet:

  • 0xC8 – turn on voicemail (discard)
  • 0xC9 – turn on fax (discard)
  • 0xCA – turn on email (discard)
  • 0xCB – turn on other message (discard)

 

Gemeinsam gegen Überwachung

 

Wir denken, dass es wichtig ist, sich mit diesem Thema zu beschäftigen. Jedoch gibt es unserer Erfahrung nach kaum öffentliche Informationen dazu. Deshalb möchten wir alle, die schon Erfahrung in diesem Bereich gesammelt haben, bitten, das Wissen mit anderen interessierten Menschen zu teilen. Nur wenn wir wissen, wie Repressionsbehörden Menschen überwachen, können wir überhaupt versuchen, uns dagegen zu wehren. Wenn ihr mehr wisst: nutzt die Kommentarspalte oder nehmt Kontakt zu uns auf! Im nächsten Artikel erklären wir dann, wie ihr selbst die hier beschriebenen „Stillen SMS“ versenden könnt und wie ihr rausfinden könnt, ob ihr mittels dieser Art der „Stillen SMS“ überwacht werdet.

 

Autonomes Techkollektiv Freiburg

März 2012

 


Quellen


[1] http://events.ccc.de/congress/2011/Fahrplan/events/4736.de.html
[2] http://www.golem.de/1112/88680.html
[3] https://de.wikipedia.org/wiki/WAP-Push
[4] https://de.wikipedia.org/wiki/Service_Data_Unit
[5] http://mobiletidings.com/2009/07/08/voicemail-waiting-indication-sms/
[6] http://bb.osmocom.org/trac/
[7] Die Software Catcher Catcher wurde inzwischen in das Git-Repository des omsmocomBB-Projekt eingepflegt und ist als Patch Downloadbar.

Zeige Kommentare: ausgeklappt | moderiert

Super Artikel, auch wenn ein bisschen kompliziert zu verstehen wenn Mensch nicht so der Profi im Thema ist, aber trotzdem durchaus verständlich.

Bzgl. Der Ansage dass ihr im nächsten Artikel erklären wollt wie Mensch selber stille SMS versenden kann möchte ich anmerken:
Überlegt bitte genau wo ihr diesen Artikel veröffentlicht und ob es öffentlich sein sollte. Repressionsbehörden sind nicht das einzigste Problem was wir haben. Ich denke jetzt ganz speziell, an nazis, die mitlesen, die den Artikel auch nutzen könnten um antifas auszumachen.

Wiederum eine Möglichkeit zu haben, diese Technik zu deaktivieren ist sehr interessant. Vielleicht habt ihr auch andere Ideen, wie Mensch sich per mobilfunk sicher kommunizieren kann. ;)

MfG Ein interessierter

es gibt im netz "anbieter" die sehr einfach - "niederschwellig" sog. Ortungsimpulse anbieten  - also bei anfrage für einen relativ hohen preis die Funkzelle verraten- und diese als sms an ein beliebiges handy senden.

- das "darfst" du meist NUR bei deiner eigenen nummer (laut gängigen AGB), je nachdem wie kreativ man ist bekommt man aber einen solchen zugriff.

missbrauchsklassiker sind eltern die kinder so mit überwachen und freund_innen die ihre partner mittels "überlassenen" handys überwachen ... 

Kennst du die Adressen von solchen Diensten, ich würde mir das gerne mal anschauen?

 

Ich kann mir irgendwie nicht richtig vorstellen, wie das funktionieren soll. Denn für Privat Personen und Unternehmen ist es zumindestens in Deutschland nicht möglich an die Verkehrsdaten andere Menschen zu gelangen. Nur durch das Verschicken einer SMS ist das glaube ich nicht möglich.

hier wäre einer der Dienste

https://www.handy-ortung.org/

(hab selber nur eine kurze Suche gemacht und nicht weiter nachgeschaut - die Seite entspricht dem Standartmuster was ich vor Jahren kannte)

 

Sie waren um 2009/2010  sehr beliebt mit hohem missbrauchspotential, daher sicher auch die Einstellung von Eplus daran teilzunehmen.

Prinzipiell sollte das aber noch gehen. 

Beworben als Ortungsdienste, Kinderschutz, Objektschutz (Autos), Diebstahlschutz ...

 

Nebenbei:

in modernen Autos wird ein sehr ähnliches System benutzt um jederzeit festzustellen wo die autos sind - dahingehend gab es mal ein TKÜ Gutachten eines bayrischen Staatsanwaltes (?) - lief auch über Indymedia

Nebenbei 2 :

bei ebay bekommt man sehr günstig kleine Sender die nur noch eine Simkarte benötigen, würde diese nummer nun vorher "freigeschaltet"  hätte man solange die batterie reicht die Möglichkeit einen Raum zu überwachen und festzustellenin welcher zelle sich das gerät befindet.

So wie ich das verstanden habe kann mensch nicht durch die (Stille) SMS geortet werden. Durch die Stille SMS werden jedeglich Verkehrsdaten zerzeugt, die die Bullen dann auf richterlichen Beschluss (oder halt wegen Gefahr im Verzeug) beschlagnahmen und auswerten können.

 

Selbst wenn die Nazis Stille SMS versenden können, haben sie hoffentlich nicht die Möglichkeit die Verkehrsdaten abzufragen und dementsprechend können die auch niemanden orten.

so ist es .. es werden mit dem "normalen" Handy in ein Netz anmelden im Regelfall KEINE Verkehrsdaten und damit auch keine Zellen in denen sich eingeloggt wurde gespeichert.

Diese Daten sind genau der Bestandteil dessen worum es immer geht wenn man von Handyortung spricht.

 

Wer wann wo wie an diese Verkehrsdaten kommt ist ein anderes Thema - heute können sie "live" abgerufen werden - wahrscheinlich von jeder größeren Polizeiwache aus (Prinzipiell könnte man die auch selber bekommen - siehe dazu letzterdings einen größeren Artikel in der Zeit zu dem grünen Bundestagsabgeordneten)

 

- Nebenbei:

eine andere Möglichkeit bieten zum Beispiel Iphone Geräte - sie speichern standardmässig GPS Daten zu jedem gemachten Bild und diese Daten sind noch um einiges genauer -- wenn man also zugriff auf Skype/facebook/google Bilder von betreffenden bekommt wäre ein nachvollziehen von benutzten wegen möglich(sofern öfter bilder gemacht werden)

soweit bekannt - durch viele Artikel und technischen Spezifikationen - folgendes

es werden in Deutschland 4 Handynetze betrieben.

eplus, telekom, viag interkom und o2 - alle anderen betreiber sind dort mit aufgeschaltet.

Wird in Deutschland eine Sms zugestellt wird vorerst geschaut zu welchem netz diese nummer gehört (insbesondere erfährt man dazu viel wenn man genauer nach der Rufnummerportierung und den einhergehenden Problemen schaut. - beispielsweise alte o2 nummer jetzt D1 Telekom Netz..)

 

Diese SMS wird dann von dem Netzanbieter zugestellt.

soweit zur Normal SMS.

 

Beim Zustellen der SMS ist wichtig zu verstehen wie sich Handy in Netze einbuchen und Netze wechseln,auf welcher (hahnebüchenen Idee SMS eigentlich beruhen und wie aus System/werksms ein offenes unverschlüsselbares  massenkommunikationsmedium wurde - so kann "jeder" "alle" sms einer funkzelle mitlesen - einfachste technik vorausgesetzt)

zum einbuchen (wichtig, da anhand die ortungsdaten festgestellt werden - prinzipiell versteht man da auch mehr - bzw erfährt dazu auch mehr bei sog. "imsi catchern" wie sie auch eingesetzt werden)

im groben folgend: Handy schaut welche Netze sind da, Handy ermittelt mit Netz zusammen die empfangsqualität und versucht sich beim nähesten einzuloggen (dieses Lokalnetz PLUS die Empfangsstärke des Signals sind prinzipiell abrufbar und das Ziel einer Stillen SMS). Ist es dort eingeloggt macht das Handy erstmal nix mehr außer zu lauschen.

Kommt eine SMS an, weis der Betreiber - vor X Zeit hat sich diese Nummer mal IRGENDWO eingeloggt, also fragt er bei dem IRGENDWO Zellensender an, "hey, ist Handynummer xy noch bei dir eingeloggt" - die Zelle fragt an "hallo, xy - noch da? (bereit zu sms empfang)"

Dieser Vorgang ist so notwendig, weil das Handy ja auch weg sein könnte, sich nicht mehr ordnungsgemäß abmelden konnte weil kein Empfang mehr, oder das akku abrupt herausgenommen wurde.

Im Regelfall würde das Handy antworten "Empfangsbereit" ... oder auch "Empfangsbereit aber SMS Speicher voll" (bzw. dieser empfang würde nicht quittiert werden (besonders alte handys mit kleinem sms speicher) - Diese (normal)SMS wird meist 3 Tage (oft auch 7 manchmal nur 1 tag nochmals versucht zuzustellen)

Die Stille SMS beruht nun vermutlich darauf das nach der Frage "empfangsbereit" und der entsprechenden Antwort nix meh kommt.

 

Technisch : das normalprozedere wurde nicht ordnungsgemäß abgeschlossen und da es keine Benutzer Fehlermeldung gibt passiert garnix - bis dahin sind aber abgreifbare Lokaldaten angefallen (auch wenn eine tatsächliche Zustellung nicht stattfand)

Zugriff: Bestands und Verbinungsdaten einer TKÜ können mitlerweile "live" abgegriffen werden, eine nachträgliche Übermittlung der erhobenen Daten und deren auswertung ist damit obsolet - eine absichtlich fehlerhaft zugestellte (im technischen Vorgangssinne) SMS somit ausreichend

(obwohl sich der meiste gesetzestext eigtl darauf bezieht das Daten später den Behörden zugestellt werden sollen- dort war die technische weiterentwicklung schneller, zu diesem Punkt finden sich auch ettliche Randbemerkungen )

 

Bei dringenden Verdacht technisch mögliche Lösung,

man nehme ein Radio mit Kopfhörerausgang : oder wie auch immer - man lege ein HAndy derart an die Antenne das bei einem Verbindungsaufbau diese Düpdidüpdidüpdüp Klackern zu hören ist (wie oft im Auto, oder enn ein Handy zu nah an einem MP3 Kabel dran ist)

Wenn siche ist das man damit die Signale auffängt - also Hörbar macht, dann nimmt man dieses Signal auf (gerne auch bei niedriger qualität 24 stunden) 

Wenn ausser dem Rauschen nur dieses Handysignal laut ist kann man das sehr einfach (!) nachher anhand der signalkurve auch über große Zeiträume (24 Stunden) herausfinden.

Bis hierhin kann man also rekonstruieren wann das Handy innerhalb von Zeit X gesendet hat (nicht was .. das wäre technisch sehr aufwendig aber auch machbar - openradio, oder ein HAndybetriebssystem das alle aktivitäten des sendens protokolliert, oder zwischenspeichert .. und diese Daten dann ausgewertet werden mit zb. ethercap, wireshark)

der clou wäre nur noch eine normale unüberwachte nummer im gleichen netz einmal zu prüfen - und zu sehen wie oft dieses wohl sendet.

Geeignet ist ein Standort mit relativ Klarer Zellenzugehörigkeit - wo also nicht zwischen Zellen gesprungen wird. (wo sich 2 oder mehr zellen ungünstig überlappen)

Verdächtig dürften also regelmäßige - wie Stündliche - 2 Stündliche - 6 stündliche zugriffe sein (die quasi sekundengenau den abstand einhalten!)

NACHTEILE: Handy in der zeit nicht benutzbar, Anrufe sollten vorab umgeleitet werden, jeder sms empfang dort "blöde",

 es gibt dann immernoch keine Sicherheit - vor allem weil dies darauf fusst das viele Handys - wenn überwacht relativ regelmäßig überwacht werden - also wie oft erklärt, viele impulse an relativ wenige handys gehen (um dort bewegungsprofile zu haben) - möglich und mit dieser methode nicht zu entdecken wären weiter nur genau zu bestimmten Zeiten (Demos, Treffen, Plena, Aktionen..) diese Daten abzufragen.

 

 

PS:

Analog zu der im Artikel beschriebenne Methode gibt es auch noch die Möglichkeiten von sog. Werksms, bzw. Sms mit sogenannten Steuerbefehlen, dazu müsste man abe rmehr informationen zu dem verwendeten Handy haben, und da sdürfte sich auch nicht jederzeit ändern, da man zwar relativ schnell an die IMSI Nummer (und damit das Modell des Handys) kommt, diese wohl aber nicht beständig abgefragt wird (meine vermutung).

Auf jeden Fall sehr nett etwas technisch tiefgreifenderes zu hören/ lesen. Danke dafür. Ich denke aber jedoch, aus dem Kommentar, der sehr lang ist, könnte mensch direkt einen eigenen Artikel verfassen. Mit Satzzeichen, Absätzen und Groß und Kleinschreibung. Denn das Lesen war leider eine größere Hürde, für das Verständnis des Textes, als der technische Hintergrund =)

Also wenn du Zeit und Muse findest es hübsch aufzuschreiben, wäre ich dir sehr dankbar.

Ansonsten mag ich deinen lockeren Schreibstil ^^

 

Mit solidarischen Grüßen

 

irgendsoein anti-deutscher

nep, find ich nicht - und ich behalte mir meine art bei frei und ungzwungen mit allen flüchtigen rechtgeschreibsefehlern und kreativen versyntaxungen munter die welt zu erheitern.

So ein Artikel wär sicher fein, ich werd ihn aber nicht schreiben, u.a. da ich dazu gern mehr "Belege" anführen wollte. Dies würde schnell en Dickes Essay daraus werden lassen. Der Mehrwert scheit mir jedoch gering wenn es nur um die Darlegung dessen geht wie es Funktioniert.

Vorschlag, einen Sympathischen jungen Studi an der Elektrotechnik, Informatik suchen und die nicht  fragen ob des nicht ein spannendes Thema für eine Hausarbeit wäre. Ala ... "technischer Hintergrund sogenannter Stillen SMS"