Cola, der sich da um irgendwelche Task gekümmert haben. Später haben die das dann erweitert. Dann gab es so diese Multimedia-Phone-Generation. Irgendwie das waren auch noch voll integrierte Chips, wo man halt dann noch zusätzlich irgendwie nochmal so einen Arm-CPU dazu gepackt hat, damit man halt irgendwie Multimedia-Messages verschicken konnte oder vielleicht ein Kamera-Interface hatte oder derlei mehr.

Mit den Smartphones hat sich dann vor allem verändert, dass halt einfach anfangs noch ein weiterer Prozessor daneben dazugekommen ist. Das heißt, man hat dann gesagt, man braucht ein vollständiges Betriebssystem, irgendwie sowas wie Linux. Und das fährt man dann mit Android oder Apple hat das nicht anders gemacht. Auf iOS waren die ganzen ersten Geräte auch so gebaut.

Das ist ein Applikationsprozessor. Text das Instrument OMAP oder Samsung Exynos oder irgendwie sowas hat man genommen. Und dann hat man daneben diesen Infineon. Später sind die dann von Intel gekauft worden. Dann war das Intel Baseband daneben gemacht hat. Und die haben miteinander kommuniziert.

Entweder hat das CPU-Sock quasi, wo die Applikationen und dann auch somit ja meine gesamten Daten drauf sind, der Teil des Geräts, den ich irgendwie kontrollieren kann. Weil das ist das Problem bei Mobilfunkgeräten, dass das ja quasi Geräte sind, die nicht uniliteral von mir jetzt nur verwaltet werden, sondern die werden ja immer auch von dem Handynetz verwaltet. Das heißt, es gibt dann, der Ownership im technischen Sinne ist da aufgeteilt.

Weil alle Mobilfunkchips müssen durch eine Zertifizierung, um überhaupt importiert zu werden. In den USA-Regeln, das ist die FCC. Früher war das hier, dass man da eine Postzulassung gebraucht. Jetzt ist es die EC in der Europäischen Union, die halt diese Zertifizierung unternimmt. Und da ist quasi Voraussetzung, damit Geräte mit Mobilfunk überhaupt importiert werden können,

dass diese Zertifizierung überstanden wird. Und Teil davon ist es eben, dass die Verwaltung jedes Endgeräts durch das Mobilfunknetz möglich sein muss. Und es geht eben so weit, dass quasi auch das Mobilfunknetz ein Software-Update für den Baseband-Teil des Mobilfunks machen kann.

Und wenn man Baseband sagt, das kommt eben aus der Smartphone-Sprache, weil dann plötzlich hat man ja diesen großen Applikationsprozessor daneben geklebt. Und hat denen dann eben ein Full-Feature-Betriebssystem machen lassen. Nun kannt man ja schon aus der alten, also schon in den 90ern gab es ja quasi massenüberwachungsmaßnahmen, die halt auf der Funktion der Mobilephone-Basebands aufgebaut hat.

Man hat zum einen halt durch die berühmte stille SMS dafür gesorgt, dass bei Leuten, wo man gerne Bewegungsprofile sammeln wollte, halt Traffic angefallen ist. Das ist dann irgendwann reguliert worden. Und man hat sich dann irgendwann geeinigt, dass man jetzt nicht mehr als 200.000 stille SMS pro Jahr verschickt oder irgendwie sowas. Und das ist aber alles auch so ein bisschen grauzonemäßig.

Man kann das ja schwer dokumentieren oder es ist nicht vollständig dokumentiert. Und in manchen Jahren ist das auch unter Verschluss gehalten worden, weil das Geheimsache ist offenbar. Also für 2014 gibt es irgendwie keine Zahlen oder so. Und damit konnte man ja quasi schon jedes im Handynetz eingebuckte Gerät wunderbar

in einer relativ hohen Auflösung Standort tracken. Und davon abgesehen, dass das das Gerät auch sonst allen laselang mal tut, mit dem Handynetz Hallo zu sagen. Aber das passiert jetzt von sich aus aus Energiespargründen halt nicht so wahnsinnig oft. Wenn man das genauer haben will, dann kann man das eben mit solchen stillen SMS erreichen. Das hat man ganz populär dann gesehen, was so das oberste Ende von so Exploits von so klassischen Featurephones,

also wie altes Nokia-Telefon, wo eben wirklich nur so ein Baseband-Ship drin ist, was da so möglich war. Das kommt man sehen am Fall Andre Holm. Andre Holm ist ein Soziologie-Professor und Dozent in Berlin.

Und der hat Vorträge und Studien gemacht und hat dabei Wörter in die deutsche Wissenschaftswelt eingeführt, wie eben zum Beispiel Gentrifizierung. Und nun gab es irgendwie von der militanten Gruppe in Berlin, das weiß man, die haben Autos von der Bundeswehr angeblich angezündet. Jedenfalls gibt es ein Bekennerschreiben zu so einem Brandanschlag auf irgendwelche Fahrzeuge von der Bundeswehr und dergleichen,

wo eben diese militantere Gruppe, diese Anschläge verübt hat, eben auch diese Wörter benutzt. Und dann hat die schlaue Staatsanwaltschaft das angefangen zu ermitteln. Da haben sie gesagt, aha, der hat Gentrifizierung gesagt. Wo hat er das denn her? Und dann haben die eben gedacht, na ja, der einzige Mensch, der außer dieser militanten Gruppe, die dieses Bekennerschreiben geschrieben hat, sonst noch Gentrifizierung gesagt hat,

öffentlich, das war der Andre Holm in seiner Vorlesung. Das haben die halt gegoogelt. Und daraufhin haben die halt angefangen, den Flächendecken zu überwachen. Also das hat Dimensionen angenommen, die man sich so jetzt kaum ausmalen kann, für so einen sehr unbegründeten Verdacht. Die haben da tatsächlich Wohnungen angemietet, haben da 24 Stunden wirklich auch Personal gehabt,

irgendwie nur, um zu gucken, wo der hinläuft. Und haben aber eben auch versucht, über Mobilfunk bezogene Maßnahmen an so viele Daten wie möglich zu kommen. Also eben stille SMS anzuwenden oder auch die Exploits in dem Baseband anzuwenden, um dafür zu sorgen, es gibt neben der stillen SMS quasi auch den stillen Anruf.

Das heißt, das Mobiltelefon hat eine veränderte Firmware, weil die kann ja vom Mobiltelefonnetz aus geupdatet werden. Und verhält sich dann folgendermaßen, dass wenn eben ein Anruf von einer bestimmten fest definierten Anrufquelle kommt, nimmt es den Anruf leise an, kommt aber nichts aus dem Lautsprecher und es bleibt im Power Management Mode. Also das geht nur, wenn der Bildschirm dunkel ist ungefähr.

Sobald du das Ding anfasst, liegt das aus und verhält sich normal. So kann das quasi als Stand-by-Wanze gebraucht werden, ohne dass das Dir jetzt von außen irgendwie auffällt. Und das ist eben eigentlich alles schon auf diesen Feature-Phones möglich gewesen. Das hat man sich erhofft, als es dann die Smartphones gab mit einem Applikationsprozess oder neben mir,

endlich habe ich da irgendwas, womit ich diesen schrecklichen Baseband, der mir so viele Probleme gemacht hat, irgendwie kontrollieren kann. Also im Idealfall, wo ich das entscheiden kann, wann der überhaupt Strom hat. Also man möchte jetzt ja meinen, wenn ich jetzt beim Flugzeugmodus irgendwie diesen Regler darüber schiebe, bei so aktuellen Geräten, dass das dann bedeutet, dass der Baseband tatsächlich stromlos ist. Oder dann gibt es auch schlaue Leute, die sagen, ja sie machen einfach keine SIM-Karte in die Geräte

und benutzen das halt nur als Wi-Fi oder Taschencomputer und gehen dann eben auch davon aus, dass das bedeutet, dass sie den Attacken, die aus dem Baseband heraus auf das Gerät unternommen werden können oder ihren Standort verraten oder auch ganz einfache Gewohnheiten verraten. Also Teil von dem Baseband-Status zum Beispiel, der übermittelt wird,

ist auch der Power-Management-Zustand. Deshalb man kann ganz einfach sehen, ob das Gerät gerade aktiv benutzt wird oder nicht. Was halt auch dann quasi, wenn man das dann über einen Zeitstrahl schön aufbreitet, sieht man halt Tagesrhythmus und das im Zusammenhang mit Standorten.

Naja, leider ist die Welt durch die Smartphones nicht so wahnsinnig viel besser geworden. Anfangs war es eben wirklich so, dass man dann so ein Infineon-Baseband oder dann später ein Intel-Baseband genommen hat und man hat da so einen Samsung Exynos oder Texas Instruments O-Map-Chip daneben gemacht und hat die im Idealfall über USB miteinander reden lassen. Leider aber auch oft so, dass da eine gemeinsame Memory-Region

im Hauptspeicher für die Kommunikation benutzt worden ist. Was bedeutet, dass natürlich auch der Baseband jetzt Möglichkeiten hat, über diesen Speicherbereich eventuell hinauszugehen oder das irgendwie auszubeuten. Aber im Idealfall war es so, die waren über USB miteinander getrennt. Das heißt, ich konnte meinem Applikationsprozessor, wenn ich jetzt tatsächlich es geschafft habe, da irgendein freies Betriebssystem, also replikant ist natürlich das beste Beispiel dafür, draufzumachen.

Dann könnte ich zumindest meine Daten ja diesem Applikationsprozessor anvertrauen, da ich ihn wieder kontrolliere. Dummerweise kontrolliert aber der Applikationsprozessor in den meisten Setups auch nicht das meiste der Peripherie. Da ist meistens das Display dran und der hat einen Haufen USB-Hosts, wo eben dann zum Beispiel der Baseband angebunden ist. Oft ist es aber auch so, dass zum Beispiel Audio über den Baseband angebunden ist.

Mit der Ausrede, dass das ja im laufenden Telefongespräch natürlich einen Latenzvorteil und einen Energiesparvorteil bringt. Und außerdem war dieser Baseband-Ship ja gerade eben noch ein Feature-Phone, quasi als vorherige Anwendung. Und die hatten das ja alles schon zusammengebaut. Die hatten ja, ich hätte jetzt gerne das gezeigt, diese schönen Grafiken, wie diese Blockdiagramme von den CPUs aussehen.

Aber das sind öffentliche Datenblätter, die kann man sich angucken. Na ja, wie dem auch sagen. Leider ist es so, dass modernere Smartphone-Ships oft wieder voll integriert sind. Das heißt, man hat jetzt wieder, also seit dem Snapdragon 600 ist das so ein bisschen Standard. Und sehr viele andere Sachen außer Qualcomm sieht man eigentlich da

in dem Highend-Bereich auch nicht mehr. Dass man wieder ein im Hauptprozessor, im Applikationsprozessor integriertes Modem hat. Das hat eben dann die entsprechenden Nachteile, die das mit sich bringt. Weil quasi die haben jetzt dort nicht tatsächlich das Modem neben den Hauptprozessor gebaut und das nur mal so eben in dasselbe Silizium gepackt. Sondern das Design des Snapdragons ist tatsächlich so,

dass das ein Multikernsystem ist mit ein paar zusätzlichen DSP-Kernen. Also Signalprozessor-Kernen. Und während dem Android gegenüber quasi dann beim Snapdragon 600 zum Beispiel vier Kerne, also Skalarprozessorenkerne erscheinen und nochmal ein DSP-Kern, den man dann so für Video-Audio-Coding-Tasks

oder so was typischerweise benutzt. Oder Equalizer, Bässe hochdrehen oder so. Während das Gerät tatsächlich einfach nochmal zwei DSP-Prozessoren und zwei Skalarprozessoren mehr hat. Und eben einfach durch Virtualisierungsmethoden auf dem selben Prozessorkern dann in diesen Kern den Baseband umsetzt.

Allerdings natürlich auf dem selben Rahmen zugreift. Und letztendlich der Hypervisor ist der Baseband, wenn man so will. Und der orchestriert dann nach unten so einen Sandkasten für das Android weiter. Und dann hat man so Memory-Mapped-Interfaces, wo man über geteilte Speicherbereiche eben Peripherie wie zum Beispiel eben Audio oder die ganzen Funktionen des Basebands, GPS, Mobile-Internet

oder eben auch SMS und so ein Kram dann eben nutzen kann. Diese Hochintegration hat eben zur Folge, dass da der Baseband ja quasi von vornherein nicht Teil dessen ist, was ich jetzt von dem Mobiltelefon jemals selber steuern kann, das ist Voraussetzung für die Zertifizierung, die eben überhaupt nötig ist, um so ein Ding einzuführen.

Teile ich mir nun mit einer potenziell feindlichen Partei, dem Handynetzbetreiber oder wer auch immer in Macht über das Handynetz ergreifen könnte. Auch das bedeutet jetzt noch nicht mal, dass ich da zwangsläufig unterstelle, dass jetzt der Staat oder der Handynetzbetreiber mir selber persönlich da um etwas Böses will, sondern das hat die Vergangenheit leider gezeigt, dass eben da die Tier-1-Provider,

also alle großen infrastrukturbesitzenden Mobilfunkbetreiber der Welt sehr gut miteinander vernetzt sind. Reicht das, wenn einer von denen irgendwo in seinen Reihen irgendein korruptes Glied hat, das dann eben Nutzerrechte ausnutzt. Da gab es in Griechenland diesen Vodafone-Skandal, da hat man das schön gesehen, wie quasi ein einziger korrupter Mitarbeiter von Vodafone Griechenland

im Prinzip alle europäischen Handynetze für Kunden aus der ganzen Welt, die dafür bezahlt haben, zugänglich gemacht haben. Und da waren natürlich auch Politiker, Anwälte, Journalisten dabei. Und das hat man dann erst erfahren und das war eigentlich auch nur so ein Zufall, weil der dann irgendwann ermordet worden ist. Und dann gab es halt Ermittlungen in diesem Mordfall.

Und nur deswegen ist das dann überhaupt an die Öffentlichkeit geraten. Also da wird es sicherlich einige geben, die vielleicht ein bisschen vorsichtiger sind bei der Auswahl ihrer Kunden, die dann nicht so schnell unter die Räder kommen. Und von denen wissen wir noch gar nichts. Und wie gesagt, ein schwaches Glied ist dort genug, weil der Datenaustausch zwischen den GSM-Netzen ist enorm und auch sehr ungesichert. Dafür gab es auch, also da lohnt es sich wirklich, sich zu dem Thema,

wenn man sich da jetzt technisch für interessiert. Ich habe mir gedacht, ich erzähle heute eher so ein bisschen, was das denn jetzt praktisch bedeutet. Also was sind die Implikationen für mein tägliches Leben, wenn ich das jetzt weiß? Ich weiß, dieser Baseband ist immer an. Auch wenn ich keine SIM-Karte drin habe, dann ist er auch mit dem Handy verbunden wegen Notruf. Weil es gibt ja in manchen Ländern, also in Deutschland hat man das 2009 abgeschafft, aber in manchen Ländern ist das so, dass man die Möglichkeit,

einen Notruf zu wählen über ein Telefongerät muss immer gewährleistet sein. Das heißt, auch wenn in dem Handy keine SIM-Karte drin ist, muss ich die Möglichkeit haben, hier die 110 oder die 112 zu wählen. Das war in Deutschland bis 2009 so. Ist angeblich massenhaft missbraucht worden, deswegen hat man das abgeschafft. Aber nicht dass zutrotz ist diese Funktion, da es in vielen Ländern so ist, in den Baseband-Chips vorgesehen,

die quasi eine Vorregistrierung beim erstbesten Netz vornehmen, sobald das Ding Strom hat. Und bedeutet, selbst wenn ich keine SIM-Karte drin habe oder auch wenn ich eventuell über das OS, dann sag ich, jetzt geh mal in den Flugzeugmodus. Das kennt man von den Snapdragon Gobi-Geräten, die ich oft benutzen musste.

Wenn man die in den Flugzeugmodus schickt, dann melden die sich mal so langsam ab und gehen auf Bereitschaft. Aber das heißt jetzt nicht, dass es kein magisches Wake-Up-Paket geben kann. Und das kann man nicht beweisen, weil es sich bei den Geräten um Black Boxes handelt, die auch im Flugzeugmodus dann wieder Aktivität noch mal verursachen würden.

Im Guten und Ganzen ist die Situation quasi so, dass sämtliche Geräte, die mit Mobilfunknetzen kommunizieren, durchgehend dazu imstande sind. Alle Kommunikations- und Ausstandort- und Lebensgewohnheitsmetadaten. Wann benutze ich das Ding? Wann ist das im Stand-By? Wann ist das im High-Power-Modus nach außen zu liegen?

Vor allem natürlich an den Handy-Netzbetreiber, aber natürlich auch an alle, die schlau genug sind, da so einen Imsy-Catcher aufzustellen. Imsy-Catcher, so wie Imsy-Catcher von der Dresdner Polizei. Vor zwei Jahren oder so war das, glaube ich. Da haben die einfach privat wirtschaftet. Das ist ja ein Produkt, das kann man sich kaufen. Da gibt es Anbieter, die das machen. Da kann man sich so einen Koffer holen. Der hat irgendwie so ein paar Antennen außen dran oder da ist ein Laptop drin.

Und dann schaltet man den an. Und dann tut der so, als ob der eine Funkzelle vom Handy-Netz wäre. Und dann verbinden sich natürlich Telefone mit denen. Und der verhält sich aber transparent und leistet das alles an das tatsächliche Handy-Netz weiter. Fällt somit auch nicht größer auf. Und hat aber den Vorteil, dass er dann dazwischen sitzt und somit die Metadaten und alle Kommunikationsdaten abgreifen kann.

Und auf diese Art, also einfach einen Man in the Middle auf GSM-Basis macht. Und auf verschiedenen Ebenen kann man das machen. Verschieden weitgehend entweder nur, dass man überhaupt mitkriegt, dass ein Endgerät da ist. Dafür reicht es ja einfach nur, wenn man ein Netz ausruft und einen Verbindungsversuch unternimmt, selbst wenn der scheitert. Weil es könnte ja sein, dass es roaming ist so ungefähr. Selbst dann kriegt man schon die Identität der SIM-Karte

und des Endgeräts, also die IMSI und die E-Mail, die Seriennummer von dem Gerät mit. Und das sind inzwischen Dinge, die kann man für wenig Geld selber bauen. Also ich sag mal, Hardware in der Größenordnung 50 bis 100 Euro muss man da rechnen. Dann kann man da auf einer einfachen Ebene mal anfangen und die Seriennummern von den Geräten der Leute in seiner Umgebung mal sammeln

und mal gucken, wie viel da zusammenkommt. Aber das gibt es natürlich auch professionell. Dann kostet das sicher ein bisschen mehr. Man kann die irgendwie buchen, dann muss man die Show schmeißen. Und das haben die zum Beispiel gemacht bei einer antirassistischen Demonstration in Dresden, wo massenhaft dann eben von allen Demonstrationsteilnehmerinnen die Identitäten bestimmt worden sind, weil eben dann klar war, wer sind die Leute auf dieser Demo gewesen,

wo haben die sich anschließend hinbewegt, wo sind die vorher gewesen, wen haben die so getroffen usw. Und mir ist das selber oft aufgefallen in der alltäglichen Praxis, wenn man dann irgendwie jetzt inzwischen sich ja mal langsam bewusst geworden ist und es keine Aluhutträgerei mehr ist, dass diese Geräte abgehört werden oder als Wanzen zumindest potenziell missbraucht werden können. Und es natürlich auch unser Kommunikationsverhalten, unabhängig davon, ob sie nun in diesem Moment tatsächlich dazu missbraucht werden

oder nicht, verändert, in bestimmten Situationen keine Mobiltelefone zu benutzen. Also zum Beispiel bei einem Plenum in einem Kollektiv ist es inzwischen ganz typisch, dass die Geräte vorher eingesammelt werden. Also dummerweise hat sich die Unsitte bereit gemacht, da vorher den Akku rauszunehmen. Weil dadurch markiert man quasi dann auch nochmal in den Metadaten die Wichtigkeit des jetzt stattfindenden gemeinsamen Events

durch das Festlegen der gemeinsamen Start- und Endzeit- und Standort, dass das eigentlich relativ leicht dann zu matchen. Solche Verhaltensmuster müsste man auf jeden Fall überdenken und das ist mit Grund dessen, warum ich jetzt über sowas erzähle, obwohl es jetzt nicht unbedingt mein Thema ist. Also ich mach mit Baseband überhaupt nichts, ich hab die mal am Rande gesehen und fand das ziemlich gruselig und hab mir gedacht, ja Wahnsinn, was man da alles machen kann. Dann gab es auch diesen verrückten Hack auf den Samsung-Telefonen.

Genau, das fand ich auch noch wichtig, das zu erwähnen, weil das ganz groß durch die Presse gegangen ist. Samsung hat einen Hack in ihren Baseband-Treibern. Und dann hat man das veröffentlicht und die Replikant-Leute hatten das gefunden. Das kann man auch nachgucken bei replikant.us, da haben die da eine Wiki-Eintracht dazu. Und da war es eben so, dass quasi, weil ja Samsung keinen eigenen Baseband hat,

sondern da eben so ein Intel Infineon-Ding daneben knallt, hat der Intel Infineon-Baseband, der ist ja ferngesteuert, wie wir wissen, nicht vollständig in Zugriff auf alles, was der Applikationsprozessor nun so machen kann. Also eben genau der Effekt, den wir uns jetzt von der Modem-Isolation erhoffen würden. Nun war Samsung aber so nett und hat in die Schnittstelle, die für die Kommunikation zwischen Baseband-Prozessor und Applikationsprozessor genutzt wird,

dem Baseband-Prozessor zusätzliche Möglichkeiten eingeräumt, dass der eben einfach Kommandos hat, das ist dann beim Reverse-Engineering dieser Schnittstelle aufgefallen, dass der eben sagt, ja hier send file oder get file oder mach mal einen Ordner und der konnte quasi das gesamte Dateisystem des Applikationsprozessors fernsteuern und somit halt auch einfach eine entsprechende Backdoor irgendwo hinschreiben

oder entsprechend vorhandene Daten von irgendwelchen Apps abgreifen, problemlos. Das witzige an diesem Bug ist, dass natürlich niemand darüber geredet hat und das war dann so ein Skandal für Samsung. Wie das denn in anderen Prozessoren, der einzige andere typische Prozessor, den wir momentan viel verwenden, ist eben der Qualcomm Snapdragon

mit einem integrierten Modem, wo sich diese Frage einfach von vornherein gar nicht stellt. Weil es ist gar keine begrenzte Schnittstelle da. Der Snapdragon mit dem integrierten Modem hat logischerweise über den Hypervisor die Möglichkeit auf den kompletten RAM des Applikationsprozessors zuzugreifen. Also das ist wie, als wenn sich mehrere Beamte einen Schreibtisch teilen. Natürlich sehen dann alle alles.

Also da stellt sich einfach die Frage nicht und es bleibt aber meistens unerwähnt und dann fand ich es wichtig mal für Samsung die Lanze zu brechen, weil sie offenbar bei diesen Geräten ja dann Modem-Isolation mäßig mal was richtig gemacht haben, wenn sie dann hinterher so eine Forderung nachgeben mussten, in ihrem Treiber-Abi dann nochmal eine extra sichtbare Backdoor einzubauen.

Ja, weil ich die Frage oft gestellt bekomme, welches Smartphone soll man denn jetzt benutzen oder welches Telefon überhaupt oder ist es denn jetzt schlauer, irgendwie so ein uraltes Feature-Phone mit sich rumzutragen. Und ich mache das inzwischen vor allem davon abhängig, wie denn die sensorische Peripherie, also sprich Audio-Input und Kameras, in dem Gerät angebunden sind.

Und da ist es eine Frage jenseits der Modem-Isolation, weil es nämlich auch so ist, dass eben die Audio- und Videoperipherie, das Wachstum war ja langsam. Wir hatten erst ganz einfache Telefone mit so einem schwarz-weiß Display und dann kamen diese Multimedia-Geräte, die hatten dann schon mal eine Kamera oder man konnte die als MP3-Player benutzen. Und dann erst kamen die Smartphones und haben aber die Smartphones einen Applikationsprozessor genommen und haben den neben dem bestehenden Baseband,

der ja nun auch schon vorher schon MP3-Player mitgespielt hat. Also der hatte schon Audio-Interface und konnte Klingeltöne und so ein Kram. Und somit ist das halt oft auch recycelt worden, weil man eben sagt, da kann man ein bisschen Energie sparen während dem Gespräch, dadurch hat man eine längere Gesprächsakulaufzeit, wenn eben das Mikrofon und der Speaker direkt über den Baseband angebunden sind,

weil dann kann der Applikationsprozessor nämlich während dem Gespräch schlafen gehen. Und der braucht natürlich auch Strom und das ist ganz gut, dadurch spart man ein bisschen was, wenn eben tatsächlich Gespräch am Telefon so der Haupt-Use-Case ist, den die sich da so vorgestellt haben. Das heißt, das ist bei manchen Geräten so umgesetzt und das bedeutet halt, dass die dann genauso schlimme Wanzen sind wie eben die ganzen alten Feature-Fones,

wie wir das bei Andre Holm gesehen haben, die eben völlig einfach fernzusteuern und abzuhören sind und einfach als Wanzen umzurüsten sind, weil das gesamte Gerät quasi durchgehend dem Mobilfunknetz gehört, technisch betrachtet, nicht ich kontrolliere das, ich kann mir die Software darauf nicht aussuchen, ich kann sie noch nicht mal nachvollziehen im Normalfall. Das Vorteil hafte bei diesen alten Geräten war allerhöchstens,

dass es eben auch nicht allzu viel Software war. Also so ein altes Feature-Phone, so ein Nokia, die hatten Roms mit zwei bis vier Megabyte und dann war da so 16-Bit-Microcontroller-Code drin. Das ist noch relativ übersichtlich. Das kann tatsächlich ein Mensch in einer Lebenszeit nachvollziehen, wenn er das tatsächlich will. Während man jetzt, wenn man sich die Roms von den aktuellen Smartphones anschaut, die in die Gigabytes gehen, da ist völlig klar, dass das ein Komplexitätslevel ist,

dem Einzelmenschen oder auch irgendeine private Initiative niemals Herr werden kann, sobald es einfach nicht möglich ist, diese Menge an Binärcode, der undokumentiert ist, jetzt zu analysieren. Ja genau, somit komme ich eigentlich auch schon zum Ende und wollte euch eigentlich mitgeben, lasst das Ding am besten zu Hause.

Seid euch bewusst, dass auch an- und ausschaltend ein Event ist. Seid bewusst, dass auch wenn keine SIM-Karte drin ist, das Ding sich schon mal voraussichtlich vorregistrieren wird bei einem Netz. Das heißt, auch wenn Geräte keine SIM-Karte haben, irgendwelche Tablets, die man nur für Wi-Fi benutzt, dann liegen die ihre Location, wenn dort keine SIM-Karte drin ist.

Grundsätzlich möchte man einfach nur darauf hoffen, dass die Zukunft da ein bisschen schöner sein wird oder wir können uns eine schönere Zukunft bauen, indem wir uns nicht mehr von so zentralistischen Systemen abhängig machen, indem wir nicht mehr Systeme benutzen. Dies erfordert, dass eine zentrale Verwaltung, wie eben zum Beispiel so ein Netzbetreiber, alle im Netz eingebuchten Endgeräte kontrolliert.

Das ist eine architekturelle Frage, weil wenn diese Kontrolle dann nämlich letztendlich auf einem kleinen Siliziumchip durchgesetzt wird, dann geht sie wesentlich weiter, als es nun für den Netzbetrieb tatsächlich nötig wäre, beinhaltet dann nämlich alles, was ich auf dem Gerät tue, im Zweifelsfall. Das heißt, man könnte sich dort auch natürlich viel schönerer Architekturen ausdenken,

was die Netzprotokolle angeht, die dann eben vielleicht so eine absolute Kontrolle gar nicht mehr in der Form bräuchten oder auf eine viel einfache Art, dass einfach das Netz natürlich jetzt dem Typ vielleicht Bescheid sagen muss, hey, du machst hier einen Haufen Lärm auf irgendeinem Frequenzband, wo du nicht sollst, weil du mal nass geworden bist. Es gibt durchaus wünschenswerte Anwendungen,

dass das Handynetz die Möglichkeit haben muss, jetzt tatsächlich Einzelgeräte, die sich jetzt viel verhalten, aufgrund von Hardware-Schäden, Elko hochgegangen oder mal nass geworden oder so, kann man das irgendwie nachvollziehen. Aber auf der anderen Seite sollte das möglich sein, ohne dass dabei die komplette Kontrolle auch über alle meine Applikationsdaten quasi aufgegeben wird.

Schöner wäre es natürlich vom vornherein, dezentrale Netze zu bauen, und das finde ich ist eigentlich zwar kritisch zu beobachten, aber auf eine Art auch positive Entwicklung, dass sich die Kommunikationsmuster in unserem Alltag, auch gerade der Smartphone-Nutzerinnen, doch immer asynchroner entwickeln. Die Asynchronität hat den großen Vorteil, dass sie schwerer verfolgbar ist,

wenn man denn nun tatsächlich alles verschlüsseln würde. Das heißt, dank WhatsApp und Snapchat und Twitter bewegen wir uns in eine Richtung, wo die Leute dann oft einfach die Notificationsounds ausgeschaltet haben und nur ab und zu mal nachgucken, ob es denn irgendwas Neues gibt. Und nicht mehr dem alten Standard, gemäß der ITU quasi 100 Millisekunden Maximal-Telefongespräch,

wenn es klingelt, musst du hingehen, sonst ist weg. Das muss nämlich nicht sein. Der Nachteil von dieser Echtzeit-Telekommunikation über Telefonen ist eben, dass die Datenströme immer verfolgbar bleiben. Also selbst wenn ich mir da jetzt komplexe Systeme wie Tor oder sowas vorstellen würde, über die ich dann mit fürchterlicher Verzögerung selbstverständlich dann auch irgendwie Voice-over-IP machen müsste,

dann ist klar, dass bei Echtzeit ist die Metadatensuche am einfachsten, weil ich feste kontinuierliche Datenströme habe in beide Richtungen. Am besten wird noch irgendein Datenkompressionsalgorithmus mit adaptiver Bitrate eingesetzt. Dann hat man nämlich auch wirklich ein schön heterogenes bandbreiten Muster,

das sich dann am beiden Enden der Verbindung zeigt. Somit ist Echtzeit-Kommunikation nie metadatensicher. Das kommt aus einer ganz einfachen Betrachtung heraus, wenn nämlich jemand die ganzen Timestamps sammelt. Jetzt möchte man hoffen, dass es mehr asynchrone Kommunikation in Zukunft geben könnte. Dies dann eben ermöglichen würde,

dass dadurch, dass nicht mehr tatsächlich gleichzeitig gesprochen wird und zufällige Verzögerungen oder auch Änderungen in der Datenmenge, indem man einfach irgendwelchen Schrott mit dazu packt, dazu führen, dass die einzelnen Ströme von wer veröffentlicht und wer bekommt, nicht mehr ersichtlich sind. Aber diese Metadaten, auch was unsere Standorte angeht,

nun zu vermeiden, ist eine technische Aufgabe, der wir mit den Handynetzen auf jeden Fall niemals gerecht werden können. Also da kann man nur sagen, muss man aus sowas wie dem Baseband dann letztendlich immer verzichten, einfach weil ich die Seriennummer von dem Gerät selber nicht ändern kann. Die ist fest eingebrannt und auch wenn ich da jedes Mal eine neue SIM-Karte reinpacke, ändert sich die Identität von dem Baseband und somit das ganze Mobilgerät gegenüber dem Netz erst mal nicht

und das ist weiter verfolgbar. Für manche Basebands gab es da tatsächlich Hacks, die Seriennummer zu ändern, weil da liegt natürlich ein gewisser kommerzieller Druck der Hela-Mafias drauf, die halt solche geklauten Geräte mit anderen Seriennummern dann verkaufen wollen. Das heißt, da gab es einen Markt für und da gab es dann auch so ein bisschen Entwicklung, dass man tatsächlich, also ähnlich wie das ja bei Simlog auch war,

Simlog war ja auch, wo es dann quasi einen Schwarzmarkt an Software gab, die das dann entfernt hat, weil man sowas nicht von vornherein verboten hatte, wie man das in anderen Ländern gemacht hat, was ja schön gewesen wäre, hat man aber nicht, man hat das erlaubt und deswegen gab es dann halt diesen schrecklichen Schwarzmarkt, wo dann eben die Möglichkeit war, Simlog zu entfernen.

Ähnliches gibt es eben auch in anderen Bereichen natürlich. Und genauso dunkel ist das eben auch, also es ist alle Informationen, die es zu diesen Themen gibt, also tatsächlich zum Innenleben der Basebands oder zu den verschiedenen ROMs oder Anpassungen, die es gibt von verschiedenen Mobilfunknetzen. Es gibt wenige Leute, die das analysieren zu den Zeiten,

als es wirklich noch großzeitig diese Infineon-Geräte waren, gab es ein paar. Es gab die OsmoCom-Gruppe, die tatsächlich einen freien Open-Source-Baseband auf dieser selben Hardware-Plattform entwickelt haben und es gab auch für Smart, was hieß, OsmoCom BB wie Baseband, Osmo BB glaube ich, ja, und es gab da auch für Smartphone-Nutzer irgendwie umfangreiche Tools,

wenn du jetzt ein Smartphone hast, in dem so ein Infineon-Baseband drin ist, um eben zu gucken, was tut der tatsächlich und eben einfach einen Dampf seines gesamten Sendeverkehrs nochmal an den Applikationsprozessor zu bekommen. Das ist sehr hilfreich, weil dann sieht man nämlich tatsächlich auch, ob stille SMS ankommen. Davon ausgehend, dass diese Debugging-Schnittstelle nicht von der bereits veränderten Firmware verändert worden ist.

Also wenn da schon ein Root-Kit drin sitzt, das der Mobilfunkanbieter dort installiert hat, dann weiß man das natürlich wieder nicht mehr. Aber zumindest ist es ein bisschen besser. Aber es gab halt vor allem ein öffentliches Wissen darüber, wie das grob strukturiert ist. Man hatte eine Toolchain, das war eine Mikro-Controller, man konnte Code dafür komponieren, man konnte den ausprobieren. Es waren nur zwei Megabyte oder so. Das heißt, man konnte sich da auch in der Lebenszeit irgendwie durchwühlen.

Heutzutage ist es so, der Modem-ROM vom Snapdragon S4 sind ungefähr 64 Megabyte. Ich hab den mal nach BinWalk reingeworfen. Also BinWalk ist so ein Binary-Analysis-Tool, wo man so ein bisschen sehen kann, man hat jetzt irgendeine unbekannte Binärdatei. Und dann sucht man mal, ob man da die Header von irgendwelchen gängigen Imageformaten,

Dateisystemen, Linux-Körnels oder auch Copyright-Information, weil oft will man ja wissen, ob das zum Beispiel ein Verstoß gegen die GNU Public License ist, weil man dann klagen könnte, um den Quellcode zu bekommen. Also für solche Zwecke gibt es das Tool BinWalk. Das kann ich sehr empfehlen, das ist sehr einfach zu benutzen. Man sagt einfach BinWalk Datei. Und dann sieht man so ungefähr, da kriegt man vielleicht einen Eindruck, falls diese Header gefunden wurden und nicht massiv verändert worden sind,

was da so drin sein könnte. Nun sieht man bei diesem Modem-ROM vom Qualcomm Snapdragon S4, dass da ein Windows RTOS drin sitzt, also ein Windows RTOS Betriebssystemkern, der da läuft und der verwaltet im Snapdragon S4 eben die Kamera, Audio und eben die Kommunikation mit dem Mobilfunknetz, Wi-Fi und Bluetooth.

Und das sind natürlich ideale Voraussetzungen, wenn ich mir jetzt einen Angreifer von der Seite des Mobilfunknetzes vorstelle, weil dann eben klarerweise das Mobilfunknetz die Möglichkeit hat, selbst zum Beispiel das Mikrofon von der Ferne im Basement anzuschalten. Selbst wenn ich jetzt ein freies Betriebssystem wie Replikant oder das Viano gehen darauf fahren würde, das würde das gar nicht mitbekommen, weil das einfach alles innerhalb

von dem Basement schon passiert. Deswegen ist es vorteilhaft, wirklich den Basement als isolierte Einheit logisch und physisch zu betrachten und Geräte zu bevorzugen, wo das eben auch tatsächlich noch umgesetzt wird. Viele sind es meistens nicht. Ein paar Samsung-Geräte sind es, aber man muss sich eben auch dort

bewusst sein, dass die Kontrolle dort auch endlich ist, weil man zum Beispiel die Stromzufuhr für die Versorgung von dem Basement nicht regeln kann. Das heißt, man muss jetzt der internen Firmware von dem Basement auch vertrauen, dass wenn ich sage hier Flugzeugmodus oder schalte ich mal aus, dass die das auch macht. Wenn die das nicht macht, dann hilft immer noch nur Akku raus, was immer noch das einzig

vernünftige ist, aber andererseits bedeutet das, wenn ich den Akku raus nehme, dann ist das Gerät aus, was an sich an heutzutage schon ein besonderes Ereignis ist, was natürlich auch schon wieder blöd ist. Naja, ich habe selber viel mit Android kommerziell auch gearbeitet und mir die Sicherheitslage auf Android-Systemen angeguckt, die im User Space jetzt ja, wenn man

das entsprechend einzäult, also mit Drittanbietern, die solche Lösungen dann für Android anbieten, dann nicht mehr so schlimm ist, wie sie normalerweise ist. Normalerweise ist sie verheerend, aber selbst an dieser Stelle war es offensichtlich und ein durchgehender Lacher, dass natürlich Sicherheitslücken im Baseband außerhalb der Möglichkeiten von

Drittanbietern sind. So das könnten, wenn, dann nur die, die die Basebands bauen. Und da geht es zum Beispiel auch darum, auf welchen Verschlüsselungsarten redet der 3G-Baseband mit dem Tower, weil der ursprüngliche 3G-Standard hat eben auch Cypher-Suits, also Kombinationen aus kryptographischen

Algorithmen, die für die Verschlüsselung und Authentifizierung mit dem Netz benutzt werden, vorgeschlagen oder enthalten, bei denen heute schon Rainbow-Tables, also Tabellen, mit denen ich jetzt eigentlich Funktionen, die nur in eine Richtung ausführbar sein sollten, wie so eine Hash-Funktion, einfach reversibel machen kann, was die Sicherheit des Systems eben bricht und ich dann die Möglichkeit habe, abzuhören oder mich, oder

die Identität anderer Leute zu stehlen. Dummerweise ist es so, dass die Vorgabe, welche Cypher-Suit nun verwendet wird, bei Handynetzen, beim Handynetz liegt und der Client kann das nur akzeptieren oder nicht akzeptieren. Das heißt, der kann dann einfach nur verwehren, sich unter unsicheren Bedingungen zu verbinden. Und nun ist es dummerweise so,

dass in vielen Ländern der Welt einfach sogar die Verschlüsselung auf WCDMA ab und zu mal ganz ausgeschaltet ist oder eben unsichere Cypher-Suits verwendet werden, aus was weiß ich, was für Kompatibilitäts- oder eben Abhörgründen. Das heißt, selbst das einzustrengen erfordert schon Sonderwissen über

vorhandene, zum Glück vorhandene High-Level-Schnittstellen, die diese Baseband-Modem-Interfaces, man muss sich die wirklich auf der Software-Seite so ein bisschen so vorstellen, wie früher so ein analoges Modem. Da fallen einfach mal mehrere Serie-Reports, also Tunneln, Verbindungen, über die ich Daten schicken und empfangen kann, beim Betriebssystem rein. Einer wird typischerweise

für die Kontrollnachrichten verwendet, einer für Netzwerkdatenverkehr und einer für Audiodatenverkehr. Bei den Kontrollnachrichten hat man manchmal noch GPS dabei oder manchmal hat man das GPS auch extra. Und auf dem Kontrollkanal verhält sich das tatsächlich wie so ein analoges Pfeifelmodem aus den 80ern und 90ern. Da sagt man irgendwie AT und dann kommen irgendwelche Buchstaben und Zahlenkombinationen, womit man dem sagt, wo er jetzt

anrufen soll oder welchen Parameter ich verändern will. Das ist bei den Baseband-Modem-Software-Seit ich ganz genauso. Das ist tatsächlich noch dieses Hayes-Modem-Interface von 1989 oder wann auch immer, wie die dann reden. Aber mit dem Unterschied, dass dann eben der tatsächliche Datenkanal nicht auf diesem Kontroll-Interface reinkommt, sondern auf zusätzlichen

USB-Endpoints dann meistens, wo dann Kanäle sind, auf denen dann ein Netzwerk-Device oder eben ein PPP-Stream oder ein Audio-Stream rausfällt und eben auch noch Sachen wie GPS oder auch Signalstärke und mit welchem Netz bin ich überhaupt verbunden, ohne dass ich das jedes Mal abfragen müsste.

Ja, viele verschiedene Baseband-Hersteller gibt es. Populär sind allerdings tatsächlich nur zwei, also es ist halt eigentlich die, was früher in Finian war und jetzt Intel ist und Qualcomm. Es gibt auch Basebands von MediaTek, die in so billigtelefon-Vereingängig sind. Die sind eigentlich ganz spannend von der Architektur her, aber wir haben einfach noch nicht genug Information darüber, um da viel darüber zu sagen. Also es gab noch nicht viel

Reverse-Engineering, aber man könnte sich ja hoffen, dass das vielleicht ein bisschen schöner zumindest ist als bei den Qualcomm-Dingern. Nvidia hat vor kurzem eine Baseband-Butze gekauft. Vielleicht wird es dann auch für den Nvidia Tegra in Zukunft einen integrierten Baseband geben. Aber vor allem kann man halt wirklich erwarten, dass Intel mit Internet of Things jetzt nochmal diese ganzen alten

16-Bit-Micro-Controller-Kisten, die sie da von Infinium gekauft hat, für Sensorik und Kleinststeueraufgaben à la Arduino mit GSM dran neu verwursten wird. Also das kommt jetzt wahrscheinlich, das passt ganz gut zu dem aktuellen Marketing-Konzept, dass die im Embedded-Bereich fahren, dass da jetzt der praktische Briefmarkt eine große Baseband dazu kommt.

Soweit die Aussichten, sage ich jetzt meistens im Guten und Ganzen natürlich, trotzdem ziemlich duster. Gerade auch, weil bei vielen Basebands inzwischen Wi-Fi auch integriert ist und somit die Zukunft quasi in die Richtung gehen könnte, dass der 5 Gigahertz-Bereich, den wir bisher für Wi-Fi nutzen,

auch für LTE genutzt werden könnte, beziehungsweise Wi-Fi-Ressourcen durch LTE autonifiziert werden können, was jetzt diese Chip-Integration nicht erforderlich machen würde. Das würde auch mit einem getrennten Wi-Fi-Chip gehen und das war eben auch die erste Generation. Integration von Wi-Fi-Access-Point-Netzwerken

und Handy-Netzanbietern. Und bereits die Snapdragon- und Infiniance-Basebands von vor Jahren konnten eben so ein seamless Handover, dass ich quasi ein Audiogespräch hatte und das habe ich über GSM geführt und dann wurde das immer mal WCDMA und dann bin ich irgendwann per EAP-SIM auf so ein

Access-Point-Netzwerk rüber gerutscht, was sich dann LTE-U nennt und dann wird das zum VoIP-Call idealerweise. Wie das jetzt im Detail funktioniert, weiß man nicht, aber es ist Magic, die in dem Baseband passiert, der quasi auf ein Ebenen des IP-Protokolls dann auch da eingreifen kann innerhalb des Wi-Fi-Interfaces, wenn der eben so High-Level-Sachen wie RTP,

also sprich einen Audio-Stream über UDP, IP, wie man das jetzt über Wi-Fi machen würde, um ein Telefongespräch zu vermitteln, machen zu können. Das heißt, das sind ganz vielschichtige Monster letztendlich mit einem sehr komplexen, sehr hohen Sprachniveau gegenüber dem Betriebssystem und dann somit auch mir als Anwender. Da habe ich nicht so viel zu melden.

Da kann ich nur Hochsprachen- Befehle quasi geben und hoffen, dass der das so macht, wie ich mir das wünschen würde und weiß aber andersrum nicht, ob der Baseband nicht sonst an irgendwelchen Stellen noch in das System eingreift, gerade eben wenn er im selben Sedizium-Gehäuse wie der Prozessor integriert ist. Gut, das ging jetzt auch ohne die Slides ganz gut. Ich hoffe, ihr konntet mir irgendwie folgen.

Fragen? Hört man mich? Ja, jetzt. Mein Verständnis von dem Bootprozess, also ich kenne gerade eben Android

wegen der Ähnlichkeit zu Linux, ist der, dass das System, wenn das Android-System hochfährt, dann irgendwann die Firmware für den Baseband übertragen wird. Und sozusagen in einer gewissen Weise,

das Android-System, also der Application- Prozessor schon, die Kontrolle darüber hat, dass dieser Baseband- Chip geladen wird. Leg ich damit jetzt komplett falsch? Das gibt es, richtig, ja. Also das ist ganz typisch zum Beispiel bei den Samsung Galaxy S irgendwas Geräten, wo eben tatsächlich die Firmware für den Baseband dann über USB erstmal in das Gerät

reingeladen wird, in den Baseband-Prozessor. Beim Snapdragon hast du es inzwischen so, dass das auf zwei Ebenen stattfindet. Du hast einen mehrstufigen Bootloader-Prozess, der quasi am Anfang erstmal schon mal nur den Power-Management, das ist so ein kleiner ARMv4-Controller, der nur Power-Management macht, anschmeißt und der orchestriert dann den ganzen Rest

und lädt quasi verschiedene Sachen an verschiedenen Stellen in den Rahmen und startet dann die verschiedenen Prozessoren. Das hat den Vorteil, dass quasi, wenn das Android gestartet ist, dann ist der Sendeleistungs-Empfangsstatus bei welchem Netzbetreiber du eingebucht bist, bei zum Beispiel dem Google Nexus 4, was ein

integrierter Baseband-Snapdragon ist, du den Empfangsstatus quasi behältst. Der bucht sich nicht erst wieder im Netz ein, sondern du gibst nur deinen Pin ein und schwupp ist der sofort wieder verbunden. Musst also keinen vollständigen Handshake machen, sondern macht nur irgendwie so eine schnelle Re-Authentifikation. Und war schon auch

vorregistriert bei dem Netz, bei dem du gerade eben noch voll angeschaltet drin warst. Okay. Jetzt bei solchen Systemen ist natürlich die Kontrolle ein bisschen schwieriger, weil da ja das Android im Prinzip nur in der Sandbox läuft und das System drum herum

keinen Zugriff mehr hat. Bei diesem anderen Weg, wenn Android erst die Baseband-Firmware lädt, wie funktioniert es dann mit diesem Remote-Update? Das kann ja dann nur temporär sein. Also wenn sozusagen der Netzbetreiber sagt, hier das Baseband von dem

Telefon will ich jetzt mal updaten. Das funktioniert halt in der Praxis über ein assistiertes Update mit Hilfe des Applikationsprozessors, der das dann halt in die entsprechende Partition in den Flash reinschreibt. Die haben ja oft dann so einen EMMC und da haben die eine Partitions-Tabelle auf dem EMMC und da eine Partition mit, was das ich eben beim Snapdragon 100 MB Partition

und 64 oder 65 sind drin so ungefähr. Und die kannst du halt natürlich über den API, der da ursprünglich mal da war bei Samsung, ja auch wie wir jetzt wissen, kannst du die Remote updaten. Das wird natürlich, wenn du jetzt Replikant benutzt und eben diese ominöse API an der Stelle jetzt entfernt worden ist, weil das natürlich ein Sicherheitsrisiko

für den Applikationsprozessor ist, tatsächlich schwierig, weil natürlich nach jedem Reboot dann wieder die ursprüngliche Baseband-Firmware geladen wird, weil ja auch der Speicherchip, der NAND-Chip, auf dem das alles gespeichert wird, die ganze Firmware von dem Gerät, nur von dem Applikationsprozessor aus erreichbar ist. Das heißt, der muss das von dem NAND- oder EMMC-Speicher erstmal laden

und muss das dann irgendwie dem Baseband übergeben. Anders würde das nicht gehen. Gibt es denn irgendwie eine Übersicht irgendwo, welche Architektur oder welches Design die verschiedenen Mobilprozessoren so haben? Also wie denn der Prozess dort stattfindet? Ob das jetzt so ein

Hypervisor-Sandbox-Modell ist? Oder ob das vom Applikationprozessor kontrolliert wird? Und welche Roms sozusagen diese Schnittstellen entfernt haben oder begrenzt haben? Eigentlich ist das die einzige Ressource, die es in dem Bereich gibt, sind zum einen so die XDA-Developer-Forums und halt alles, was da um

passiert, da wurde ab und zu drüber geredet, aber das kann man jetzt nicht als zuverlässige Referenz oder sowas hernehmen. Als Übersicht würde ich wirklich replikant Webseite empfehlen und sich dort eben jetzt nicht nur die supported devices, da sind es nicht so üppig, aber es gibt auch ganz viele Wiki-Einträge zu devices, die eben noch nicht supported sind, wo man dann schon so einen Vorschau

bekommt irgendwie, okay, wie weit kommt man da überhaupt an ein blobfreies System ran, wo ich tatsächlich die ganze Software auch auditieren könnte. Okay, danke. Ah ja, das macht was.

Mikro und so. Also ich hatte die stillen SMS vorher immer so verstanden, dass das sozusagen einfach eine kaputte SMS ist, die deswegen nicht bis in die grafische Oberfläche kommt. Oder null byte SMS, ja. Und jetzt hast du aber gemeint, es gibt auch stille Anrufe, gibt's da irgendwie, also gibt's da nur diese

Erzählungen von Andrea Holm oder gibt's da irgendwo Ressourcen zu? Weil das wäre dann schon nicht mehr ausversehen. Also ich meine... Ne, das ist nicht mehr ausversehen, richtig. Dass eine kaputte SMS nicht angezeigt wird, okay, fair enough, aber... Ja gut, ich meine, das funktioniert wahrscheinlich auch mit einem Coding der Caller-ID oder der Metadaten, die das Netz dem Endgerät gegenüber signalisiert.

Aber das noch als Bug rauszureden, dass da ein Audio angeschaltet wird und dann das zurückresettet, ist natürlich schwierig. Ich hab mal gehört, ich hab's jetzt versucht, im Vorfeld von der Vorbereitung von dem Talk zu finden und hab's nicht mehr gefunden. Es gab einen Fall in Baden-Württemberg, glaube ich, wo ein Anwalt sehr viel offensichtlich infiltriertes

Material, also Rechner und Handys, von Leuten, gegen die eben dann auch diese Beweise vor Gericht zugelassen worden sind, dass sie da tatsächlich Handy oder Audioaufzeichnungen hatten. Und der hat das irgendwie ein bisschen extrahiert. Und das war eben aber noch zur Oldschool Nokia 63, Zehnzeiten so ungefähr. Und da ging da tatsächlich mal

dieser Rom rum und es gab verschiedene Prüf-Summen. Und ich erinnere mich, dass wir damals bei den Nokia-Telefonen tatsächlich immer mit so aufwendigen, selbstgebauten Datenkabeln irgendwie probiert haben, die Prüf-Summen von unseren Rom-Star zu verifizieren. Aber ich hab das nicht mehr, also ich konnte jetzt die genaue Quelle dazu nicht mehr finden, aber das kann man sicher finden. Also wenn du stark daran interessiert bist,

dann können wir da gerne auch nochmal eine halbe Stunde gucken, dann findet sich das. Die andere Frage war jetzt, du meintest, bei dem integrierten Snapdragon oder was das war, Prozesse werden halt manche DSPs und Kerne einfach dem Linux gar nicht als zugänglich gemacht werden. Wie funktioniert das denn technisch? Das funktioniert ganz ähnlich wie, du kennst vielleicht auch vom X86er KVM oder halt Hypervisor.

Hardware-Virtualisierung. Und bei Arm gibt es halt dieses Secure-Zones-Konzept. Ach, die nehmen das dafür? Genau. Also bzw. sie nehmen ihre eigene Variante davon. Sie nehmen das jetzt nicht out of the box. Samsung hat es mal out of the box genommen, das war keine so gute Idee.

Und wie genau das auf den Qualcomm-Socks funktioniert, ist ziemlich unübersichtlich, weil die halt auch einfach so, die sind halt, sie haben halt riesen Adressbereiche, auch in dem Sock. Also da irgendwie mit Fuzzing oder mal so ein bisschen Register-Rights dampen, kommst du da nicht weit, weil es einfach enorme Mengen an konsekutiven Register-Rights und Reads sind, die da stattfinden.

Und eben auch über einen extrem großen Adress-Bereich in einem Raum, wo man dann schwer sagen kann, ok, was war denn das jetzt bitte wieder? Ok. Danke. Ich habe eine Frage zu den Software-Updates,

die ja direkt übers Netz kommen, für diesen Baseband-Chip. Sind die irgendwie verschlüsselt, signiert und hat dann dieser Baseband-Chip, egal von welchen Hersteller, da ist irgendwie ein Standard- Befehl... Nee, das ist auf jeden Fall abhängig von dem jeweiligen Gerät.

Also das geht nicht auf eine generische Art, es gibt auch keine generische Schnittstelle dazu. Was bekannt geworden ist, was man eben gesehen hat, ist, wie das bei so Nokia Feature Phones funktioniert hat. Da gab es teilweise Over-the-Air-Updates auch als Service, also ich kann mich selber daran erinnern, dass E plus mal mein Nokia 5110 geupdatet hat, damit das irgendwie

dieses HSR-Audio dann konnte, also mit 14 Kbits statt mit 9,6. Und das klingt dann besser und das war eben so ein Feature, das E plus damals neu hatte, was aber die Nokia Software damals noch nicht konnte und da konnte man beim Kundenservice anfragen und dann haben die halt Over-the-Air das Telefon Rom updaten können. Das läuft...

Ich nehme es schwer an, ich weiß es nicht, ich nehme es schwer an, halt über die typischen Provisionierungsschnittstellen, die man aus dem Telekommunikationsbereich halt so kennt. Das wird nicht viel anders aussehen, wie was man jetzt von DSL-Modems oder Kabel-Modems oder anderen fernverwalteten Geräten kennt. Irgendeine RPC, also Remote Procedure Call, eine Möglichkeit

von der Ferne aus Funktionsaufrufe zu machen, die eben solche Sachen jetzt bereitstellt, wie ersetzt mal die Firmware, macht mal ein Reboot oder schalte ich mal aus oder so. Sehr viel mehr ist das hier eigentlich auch nicht. Also ich glaube einen generischen Standard dazu gibt es auf jeden Fall nicht. Gerade auch bei den komplizierteren Android-Geräten hat man auch gesehen, dass das nicht funktioniert hat. Also

dass das aus dem Ruder gelaufen ist, dass es zu viel Customizing gab. Also ich habe nie einen Remote Update auf einem Samsung Galaxy S2 gesehen oder davon gehört, dass das irgendwie mal gelaufen ist. Und ich stelle mir das auch sehr schwierig vor, weil eben da muss der Applikationsprozess ja quasi mithelfen, um das zu bewerkstelligen. Und die Diversität an Nutzungs-, Betriebssystem,

die es da laufen, die ganzen sujanogen und paranoid und replikant Varianten, die es da gibt, die das natürlich nicht umsetzen oder anders umsetzen oder Bugs haben, das traut sich niemand mehr das zu machen, weil die Wahrscheinlichkeit ist halt viel zu groß, dass ich jetzt über so einen RPC-Aufruf, über den Baseband, halt entweder ins Leerelauf

oder vielleicht sogar Schaden anrichte. Deswegen sieht man das nicht so. Aber ich denke mal, dass es schon ein Problem gewesen ist. Und durch die Vollintegration von den Socks, dass dann quasi natürlich auch der Flash-Speicher, der an dem Telefon integriert ist, also MMC oder NAND,

direkt von dem Primärbootloader natürlich zugegriffen werden muss, um irgendwas reinzuladen und dann direkt der Primärbootloader halt auch die ROMs für den Baseband mitladen kann, so wie das eben bei den neueren Snapdragons passiert. Ok, dann wird es bei den neueren quasi nicht mehr über die klassische Overseer-Update-Sache gemacht, sondern ganz normal mit dem Betriebssystem-Update dann ausgeliefert?

Ja, das kommt eben auf die Isolation an. Also bei sowas wie dem Samsung Galaxy S2 oder Geräten, die eben eine vollständige Isolation haben und eben die entsprechenden RPC-Calls, die der Baseband da eben normalerweise hat, von Replikanten entdeckt worden sind und es eine Rewrite von dem ganzen Userspace auf Android gibt und das dann eben weg ist, dann geht es natürlich nicht mehr.

Wie gesagt, auf dem Samsung Galaxy S2 habe ich auch nicht gesehen, einfach weil es so wahnsinnig viele angepasste Softwareversionen davon gibt von verschiedenen Netzbetreibern und irgendwelchen Franchise-Kram irgendwie, die halt ihre tausend Customized-Roms haben, dass sich das offenbar keiner traut, das zu nutzen.

Während bei vollintegrierten, also die ganzen neueren, wenn ich mir jetzt angucke, wie die High-End-Geräte sind, dann sind das alles Vollintegrierte. Also Top-End-Geräte von LG, Samsung und Apple. Da ist wenig noch mit getrennten Baseband. Ok, und wenn jetzt so ein Hersteller von so einem Baseband-Chip irgendwie ein Update rausbringt, wird das dann irgendwie von einem Netzbetreiber

oder irgendwogegen geprüft, dass das irgendwie signiert ist? Nee, der Netzbetreiber muss das ja quasi von dem Handy-Hersteller oder Chip-Hersteller in irgendeiner Form beziehen. Und da gibt es natürlich diese Industrie-Konsortien-Versammlungen dafür, wo die dann alle Mitglied sind und da viel Geld dafür bezahlen, dass sie da irgendwie einen moderierten Kommunikationskanal haben, über den so was

stattfinden kann. Es müssen sich aber tatsächlich die Handynetze auch selber darum kümmern. Also hier kenne ich das halt zum Beispiel, dass D1 halt natürlich für die Geräte, die sie selber auch verkauft haben, das machen, für andere aber nicht. So ungefähr, also wenn du jetzt das selbe Nokia-Telefon damals hattest oder heute hast irgendwie und das aber nicht

von denen mit ihrem Custom-Rom bereits verkauft worden ist, dann updaten sie es auch nicht. Damals D2 hat kaum Updates gemacht oder nicht, das mir bekannt war. Und bei E-Plus weiß ich, dass man da betteln muss. Vom wegen, ey bitte mach das jetzt mal. Und dann gab es das per, haben die das in der Management-Interface pro Kleinheit machen können.

Aber man könnte sich quasi sicher sein, dass auf jeden Fall irgendwo eine Signatur geprüft wird, egal ob es jetzt... Also vom Gerät sicherlich nicht mehr. Weil das Gerät authentifiziert sich nur, also das Gerät authentifiziert mit der SIM-Karte ja das Netz. Und dann vertraut es dem Netz. Und ob die Handynetzbetreiber das irgendwie prüfen, das möchte man

hoffen. Aber ob sie es tatsächlich tun oder wie sie es tun. Also es ist sehr unwahrscheinlich, dass jemand seine eigene Firmware plötzlich verteilt da über das Handynetz. Seine Alternativ-Firmware. Ja, das kommt halt auch drauf an, wie gut die Handynetz-Arbeiter dabei mitmachen.

Also wie gut die Handynetz-Betreiber das unterstützen würden. Oder ob es dafür Schnittstellen gibt, das weiß man nicht. Aber ich gehe davon aus, dass es das gibt, weil ich ja selber schon erlebt habe, dass es durchaus im Rahmen von einer normalen landespolizeilichen Politermittlung jetzt von irgendeiner Demo oder so ist, zum Beispiel punktuell in bestimmten Städten mal eben alle Handynetze gar nicht mehr

funktionieren zu lassen. Das gab es schon in den 90ern. Das heißt, da gibt es ja schon seit eine langwierige Zusammenarbeit. Also da wird es dann auch entsprechende Kanäle geben, dass man sagt, hier, da hätte man bitte mal gerne irgendwie den optionalen stillen Anruf dazu gebucht irgendwie. Und es gibt halt auch Butzen, die dann solche Alternativ-Firmwares sicherlich entwickeln. Also das ist alles, das ist ja auch privatisiert

letztendlich. Man könnte das auch mit einem Indie-Catcher kombinieren natürlich, denke ich mir so. Genauso wie ich halt quasi auch dann erstmal mir nur den das kann das ja nicht nur transparent man in the middle machen, sondern ich kann ja jetzt auch man in the middle machen und dann gleich nochmal ein Update verteilen irgendwie. Und so.

Im Kleinen kennt man das ja von früher auch noch, wenn man jetzt ein Handy, eine neue SIM-Karte reinpackt. Dann kam immer gleich die passende Begrüßungs-SMS mit den MMS und WAP APNs drin für das entsprechende Gerät. In irgendeinem proprietären SMS-Format in der Konfig für den entsprechenden ROM. Das setzt dann ja quasi auch schon

voraus, dass das Handy jetzt logischerweise wissen muss, was habe ich denn da jetzt genau für ein Gerät? Und dann eben auch entsprechend ROM-Updates verteilen könnte. Aber in der Praxis wird es für Updates tatsächlich nicht wirklich gemacht. Weil es viel zu riskant ist, dass es eben eine viel zu große Diabetes gibt, oder es viel zu oft schiefgehen kann.

Ja, wenn es keine Fragen mehr gibt, dann bedanke ich mich fürs Zuhören. Ah, doch. Also, wie es scheint, ist das Fazit eigentlich für die mobilen Netzwerke. Man müsste sie eigentlich wegschmeißen und neu machen. Also, wenn man jetzt diese Technologie

sicher haben wollte. Also, der erste Ansatz, was man stattdessen machen könnte, wäre ja bis jetzt WLAN. Und weißt du da, was da... Also, in WLAN ist ja ein bisschen offene Infrastruktur,

was man da machen kann und was quasi, wenn man die Richtung weitergehen könnte, was man da machen müsste, oder um halt sichere Netze zu haben. Ja, bei WLAN ist es tatsächlich ziemlich divers. Also, man hat WLAN-Chips, die ähnlich wie so eine Mobilfunk-Baseband

auch dem Betriebssystem gegenüber als Blackbox erscheinen. Und da hast du dann logischerweise auch wesentlich weniger Handlungsmöglichkeiten das jetzt auf eine Art zu gestalten, die eben da mehr Rücksicht auf Privatsphäre nehmen würde. Also, das geht bei so einfachen Sachen los, wie die MAC-Adresse zu ändern. Was dann eben bei vielen Blackbox-WLAN-Chips, die quasi dem Betriebssystem

gegenüber erstmal auf der einen Seite wie ein ganz normales Ethernet- Netzwerkgerät erscheinen und dann auf der anderen Seite eben noch mal irgendein Kontrollinterface haben, wo ich dem nur noch sage, okay, jetzt verbinde dich mal mit dem Netz oder so, oder mach mal AccessPoint. Und es gibt aber auch andere WLAN-Chips, die eigentlich wesentlich vorteilhafter sind, die diese Sachen eben in Software, im Treiber, in Linux abfackeln.

Und dann habe ich tatsächlich eben auch die Möglichkeit, das vollständig zu auditieren. Es gibt nämlich auch Sachen wie zum Beispiel Wake-up-on-WLAN, dass ich einen Rechner aus der Ferne über WLAN aufwecken kann, wenn das konfiguriert ist. Das heißt, um diese Funktion jetzt erfüllen zu können, kann man sich das logisch überlegen, muss der WLAN-Chip ja quasi auch, wenn der Rechner im Standby- Modus ist oder aus ist, alle

10 Sekunden zumindest mal kurz samplen und gucken, ob das entsprechende magische Wake-up-Paket für seine MAC-Adresse da jetzt dabei war und dann eben aufwachen und das ganze Betriebssystem aufwecken. Was halt quasi schon eine größere Autonomie ist, die man sich jetzt auch auf anderen Stellen hilfreich vorstellen könnte, wenn so eine Funktionalität dann ohnehin schon vorhanden ist.

Schön wäre es, so etwas ja ausschließen zu können. Naja. Ganz kurz, also ich bin kein Fachmann, aber ich fand es trotzdem interessant und ein bisschen was habe ich auch verstanden. Mich würde interessieren, wie das mit Smartphones und Handys ist.

Kann man prinzipiell sagen, dass die als WAN-Sams missbraucht werden können oder? Ja, auf jeden Fall. Genau. Und auch ein Smartphone ebenso sehr wie ein normales Feature-Phone. Also ein Smartphone, bei dem du jetzt Internet ausschaltest, ist ja quasi nur ein Feature-Phone mit einem kleinen Computer dran. Das ist erstmal aber trotzdem deswegen nicht sicherer als ein Feature-Phone.

Und auch nicht unsicherer. Also die alten Feature-Phones sind genauso schon als WAN-Sams missbrauchbar oder auch als Ortungssender missbrauchbar, wie das jetzt durch die Smartphones noch viel intensiver geworden ist. Was allgemein zu beobachten ist, auch unabhängig davon, was ist jetzt für ein Gerät. Das ist halt eine Privatisierung dieser Geschichte. Während das früher was war,

was halt wirklich nur Regierungen oder die Handynetzbetreiber selber machen konnten, ist es halt jetzt so, dass es quasi einen umfangreichen Markt auch an Produkten gibt, die eben dafür da sind, um Handys gezielt dann eben mit gefakten Sendemasten sich assoziieren zu lassen, um dann eben Men in the Middle zu machen, um dann eben zum Beispiel schlimme Dinge da zu tun,

Verkehr abzuhören oder auch zu beeinträchtigen. Das sind ganz normale kommerzielle Produkte, die es wie alle anderen Arten von Waffen halt auch einfach auf einem Markt gibt. Da gibt es Anbieter, die sowas eben machen. Danke. Wusste ich noch nicht. Kennst du schon bei ISDN?

Kennst du schon bei ISDN? Bei ISDN auch schon. Ach so. Ja klar, natürlich. Aber da war ja nie eine Verschlüsselung vorgesehen, weil da war das Medium ja nicht geteilt. Bei ISDN war es ja so, du hast ja den Postsiegel auf dem Telefon gehabt und deswegen darfst du das nicht aufschrauben. Ja. Genau.

Genau, genau, genau, wenn du im selben Bus gesessen bist. Also vor allem bei diesem typischen Hausinstallation mit S0-Bus bei ISDN, was ja so...genau, ja klar. Ja klar. War es Netflix oder Computer gibt es noch nicht so leicht zu hauen, wie bei Orbit, dass sie dann da auch noch abhören können?

Also ja, da gab es ein bisschen schon was drüber, dass das GHCQ, der englische Geheimdienst hat angeblich laut Snowden-Leaks, das schon großflächig angestrebt, auch Laptop-Kameras zu aktivieren, aber man kann davon ausgehen, dass es schon größer, also die werden ja halt Windows und Mac als Haupttages haben oder vielleicht noch Leute, die unter

Linux dann Skype installiert haben, weil sonst stelle ich mir das schon ziemlich schwierig vor, weil es halt eine sehr heterogene Landschaft ist, außerhalb der paar großen Betriebssysteme, da eine pauschale Lösung zu haben. Du meinst für Intell-Management-Engine und so Zeug? Ja klar, eben.

Also das ist eben auch, dass die, man kann sich vorstellen, es gab mal diese Geschichte mit dem Package of Death, das war auf normalem Wired Ethernet, deswegen war es noch relativ leicht zu debuggen, da ist jemand aufgefallen, dass er hat eine Telefonieanwendung gebaut, so eine riesen Telefonanlage und da war eine Intel-Netzwerkkarte drin und das Ding ist ihm relativ zuverlässig, alle anderthalb Tage

ist die Netzwerkkarte hängen geblieben. Und er hat den Treiber debugged und hat den Treiber debugged und hat nicht rausgefunden, woran es liegt. Konnte aber irgendwann, jedes Mal wenn es gecrashed ist, das letzte Paket bevor dem Crashed Capture und hat dann einfach Big Data mäßig versucht, was haben all diese Pakete gemeinsam und ist dabei rausgekommen, dass einfach eine bestimmte Bit-Kombination innerhalb des UDP Payloads von so einer

SIP-Session oder RTP-Session, die er da geroutet hat, dazu geführt haben, dass die Netzwerkschnittstelle sich wegen irgendeinem Pufferüberlauf eben noch auf Hardware-Ebene, also irgendwo in dem ASIC von dem Netzwerkchip drin halt aufgehängt hat. Was ähnliches kann man sich jetzt vorstellen? Gibt es überhaupt solche Traps? Also warum greift jetzt überhaupt

so eine niedrige Ebene da irgendwie auf eine höhere Protokollebene ein? Warum ist es nicht völlig egal, welche Bits dann da in dem UDP-Paket drin sind? Das begründet sich eben gerade da auch an der Stelle, weil es eben WakeUpOnLan gibt. Weil ja unter Umständen dieser Low-Level auf einer höheren Ebene lauschen muss, ob er vielleicht aufwachen soll. Und ebenso kann man sich das natürlich auch

wie gesagt bei WLAN vorstellen, dass es sowas geben könnte. Und WakeUpOnWlan gibt es als Blackbox-Chips zumindest bei den Soft-Macs, also bei denen, die nur so ein Software-definiertes Radio sind wie ATH9K oder MT76 wird es ein bisschen schwieriger, weil da ja quasi der Treiber vom

Betriebssystem nötig ist, um überhaupt die Daten zu interpretieren und die keinen eigenen Prozessor haben. Also bei Windows und Mac wäre es dann auch eigentlich möglich, aber schwierig. Ja, bei Windows und Mac ist es trivial einfach, weil du hast unglaublich viele Backdoors bereits in den Betriebssystemen drin, die du auch als einzelne nicht schließen kannst. Du hast normalerweise Webbrowser, die Backdoors haben, in den Webbrowsern hast du Plugins, die Backdoors haben,

du hast Mediaplayers, die Backdoors haben, du benutzt Kommunikationsdienste wie Skype, die Backdoors haben, Adobe Flash, also das ist uferlos, also da brauchst du gar nicht anfangen. Da ist der Basement glaube ich dein geringeres Problem dann.

Ja gut, danke fürs Zuhören auf jeden Fall.