Nowadays, the majority of people carry their mobile phones wherever they go. This makes IMSI catchers, tracking devices that identify nearby mobile phone users, extremely efficient and intrusive surveillance tools. The newest network generation 5G protects users against IMSI catchers by encrypting identities transmitted over the network (SUCI). In 5G, attackers may resort to the Linkability of Failure Messages (LFM) flaw to track and identify users. The flaw allows attackers to probe for the identity of subscribers, which is equivalent to asking victims Are you person X? This means that the attacker has to guess the victim’s identity, which makes it less powerful than IMSI catching. The privacy impact of this flaw depends on two factors: The difficulty of exploitation and the ability to probe for arbitrarily many identities within a short time. This project evaluates these practical aspects of LFM exploitation. An attack system for identity probing with real-world networks is implemented to show that exploitation of the LFM flaw does not require special equipment or tools. Exploitation is simplified by compatibility between AKA protocols in 3G, 4G and 5G as well as the use of roaming networks or non-3GPP access. The attack system is then evaluated with test networks and three German public networks. The evaluation shows that LFM-based subscriber tracking with public networks is possible for target sets up to a few hundred identities, but also demonstrates its limitations: It is too slow for very large target sets and can easily be mitigated by the network, which is already done by one of three German operators. Despite LFM, the biggest threat to subscriber privacy in 5G are still downgrade attacks that enable the use of 4G IMSI catchers.

Numera har de flesta människor med sig sina mobiltelefoner vart de än går. Detta gör IMSI catchers, spårningsenheter som identifierar mobiltelefonanvändare i närheten, till extremt effektiva och påträngande övervakningsverktyg. Den senaste nätverksgenerationen 5G skyddar användarna mot IMSI catchers genom att kryptera identiteter som överförs via nätverket (SUCI). I 5G kan angripare använda sig av LFM-bristen (Linkability of Failure Messages) för att spåra och identifiera användare. Felet gör det möjligt för angripare att söka efter abonnenternas identitet, vilket motsvarar att fråga offren ”Är du person X?” Det innebär att angriparen måste gissa sig till offrets identitet, vilket gör det mindre kraftfullt än IMSI-catching. Två faktorer orsakar denna integritetspåverkan: Svårigheten att utnyttja och möjligheten att söka efter godtyckligt många identiteter på kort tid. I det här projektet utvärderas dessa praktiska aspekter med LFM-exploatering. Ett attack system för identitetssondering med verkliga nätverk implementeras för att visa att utnyttjande av LFM-bristen inte kräver specialutrustning eller verktyg. Exploateringen förenklas av genom kompatibilitet mellan AKA-protokoll i 3G, 4G och 5G samt användning av roamingnätverk eller icke-3GPP-åtkomst. Attacksystemet utvärderas sedan med testnätverk och tre publika tyska nät. Utvärderingen visar att LFM-baserad abonnentspårning med publika nät är möjlig för målgrupper upp till några hundra identiteter, men visar också dess begränsningar: Den är för långsam för mycket stora målgrupper och kan lätt motverkas av nätverket, vilket redan görs av en av tre tyska operatörer. Trots LFM är det största hotet mot abonnenternas integritet i 5G fortfarande nedgraderingsattacker som gör det möjligt att använda 4G IMSI catchers.