Những lỗ hổng đã đề cập ở phần trên khi kết hợp lại có thể tạo ra một cách tấn công nguy hiểm hơn nhiều.
Bằng cách bắt chước một mạng GSM hợp pháp, kẻ tấn công có thể sử dụng thủ tục xác thực nhiều lần để khai thác các lỗ hổng bảo mật trong thuật toán COMP128.
Để thực hiện điều này, kẻ tấn công bắt chước một BTS có cùng mã mạng MNC (Mobile Network Code) với thuê bao. Sau đó nó sẽ tìm thuê bao đó bằng số IMSI hoặc TMSI, để thiết lập một kênh vô tuyến với MS đó.
Khi kết nối đã thiết lập, nếu MS được tìm bằng số TMSI thì cũng dễ dàng tìm được số ISMI bằng yêu cầu IDENTITY REQUEST.
Theo cách này, kẻ tấn công có thể chọn các dãy RAND (để khai thác các lỗ hổng trong thuật toán COMP128) và gửi chúng đến MS qua các bản tin AUTHENTICATION REQUEST (bắt chước một mạng hợp pháp yêu cầu MS xác thực). MS theo yêu cầu sẽ phúc đáp lại dãy SRES. Kẻ tấn công có thể lặp lại yêu cầu xác thực này nhiều lần, thu thập các dãy SRES cho đến khi đủ thông tin để tìm ra khóa Ki [7].
Một khi đã biết khóa Ki và số IMSI, kẻ tấn công có thể mạo danh thuê bao đó để thực hiện cuộc gọi và gửi tin nhắn. Nó còn có thể được sử dụng để nghe lén (eavesdrop), vì các dãy RAND từ mạng hợp pháp đến thuê bao hợp pháp có thể bị giám sát, và kết hợp với khóa Ki đã biết có thể xác định khóa Kc sử dụng trong mã hóa thông tin dữ liệu. Cách tấn công này có thể thực hiện trong bất cứ MS nào và có thể thực hiện khi cách xa hàng cây số.
Hình 2.4 Bẻ khóa Ki trên kênh vô tuyến
Đối với các lỗ hổng của thuật toán COMP128, có thể sử dụng cách tấn công lặp lại 2R với khoảng 217 lần thử số RAND để tìm Ki.
Để xác định tốc độ mà MS có thể bị yêu cầu xác thực bằng cách tấn công này qua kênh vô tuyến ta xem xét chi tiết như sau: Thông thường, thủ tục xác thực được thực hiện quan kênh SDCCH, trong các chế độ SDCCH/4, SDCCH/8 cho phép 1 khối vô tuyến (chứa 4 burt) trong một khoảng 51 đa khung (khoảng 120*51/26 ms = 235ms). Độ lệch thời giữa kênh truyền đi và kênh nhận là 15 frame + 3 timeslot (khoảng 15*120/26 + 3*120/26/8 = 71ms). Các bản tin xác thực AUTHENTICATION REQUEST và AUTHENTICATION RESPONSE sẽ được xếp vào các khối SDCCH tương ứng, nghĩa là nếu MS muốn trả lời yêu cầu trong khe SDCCH tiếp theo thì nó chỉ có khoảng 71ms – 4*120/26 = 52ms để xử lý rất nhiều thủ tục: giải mã và xử lý thông tin, chuyển đến Simcard để thực hiện A3/A8, nhận dãy REST từ Simcard, mã hóa và truyền trở lại mạng. Điều này khó thực hiện được với một số thiết bị. Tiêu chuẩn GSM chỉ cho phép đến 12 giây để thực hiện xác thực, tuy nhiên sẽ thực tế hơn khi MS có thể tiến hành các thủ tục trên với khe SDCCH tiếp theo thứ 2, tức là khoảng 52ms + 235ms = 287ms [7].
Sử dụng cách này, một yêu cầu được gửi trong khoảng 235ms đầu, và bản tin trả lời được gửi lại trong khoảng 235ms tiếp theo (cùng lúc một bản tin yêu cầu mới được gửi). Do đó khoảng 1 yêu cầu được tính toán trong 1 giây. Suy ra có thể tìm Ki trong khoảng 217 RAND/ 4 RAND/1 giây = 215 giây hoặc 9 giờ.
Không nhiều thiết bị có thể đủ lượng pin để hoạt động liên tục 9 giờ, hay có thể di chuyển ra ngoài vùng hoạt động của kẻ tấn công. Tuy nhiên, có thể chia nhỏ cuộc tấn công thành nhiều đoạn, không nhất thiết phải thực hiện liên tục.
Ngoài ra, có thể sử dụng tốc độ cao hơn như 3R, 4R, 5R (như tiện ích Sim Scan của Dejan Kaljevic) để giảm thời gian còn trong vòng 1 giờ.