Kết hợp với lỗ hổng trên là hệ thống không cần xác thực với thiết bị di động, kẻ tấn công có thể sử dụng cách này để ghép một số TMSI với số IMSI của nó bằng cách bắt chước một BTS hợp pháp trong mạng mà thuê bao đó đang hoạt động, và theo dõi thuê bao đó bằng số IMSI của nó. Thiết bị di động của thuê bao đó sẽ thiết lập một kết nối vô tuyến, và kẻ tấn công có thể đơn giản gửi một yêu cầu IDENTITY REQUEST (Identity Type = IMSI), và thiết bị di động sẽ phúc đáp bằng số IMSI của nó [3].
2.1.5 Bẻ khóa Ki trên kênh vô tuyến
Những lỗ hổng đã đề cập ở phần trên khi kết hợp lại có thể tạo ra một cách tấn công nguy hiểm hơn nhiều.
Bằng cách bắt chước một mạng GSM hợp pháp, kẻ tấn công có thể sử dụng thủ tục xác thực nhiều lần để khai thác các lỗ hổng bảo mật trong thuật toán COMP128.
Để thực hiện điều này, kẻ tấn công bắt chước một BTS có cùng mã mạng MNC (Mobile Network Code) với thuê bao. Sau đó nó sẽ tìm thuê bao đó bằng số IMSI hoặc TMSI, để thiết lập một kênh vô tuyến với MS đó.
Khi kết nối đã thiết lập, nếu MS được tìm bằng số TMSI thì cũng dễ dàng tìm được số ISMI bằng yêu cầu IDENTITY REQUEST.
Theo cách này, kẻ tấn công có thể chọn các dãy RAND (để khai thác các lỗ hổng trong thuật toán COMP128) và gửi chúng đến MS qua các bản tin AUTHENTICATION REQUEST (bắt chước một mạng hợp pháp yêu cầu MS xác thực). MS theo yêu cầu sẽ phúc đáp lại dãy SRES. Kẻ tấn công có thể lặp lại yêu cầu xác thực này nhiều lần, thu thập các dãy SRES cho đến khi đủ thông tin để tìm ra khóa Ki [7].
Một khi đã biết khóa Ki và số IMSI, kẻ tấn công có thể mạo danh thuê bao đó để thực hiện cuộc gọi và gửi tin nhắn. Nó còn có thể được sử dụng để nghe lén (eavesdrop), vì các dãy RAND từ mạng hợp pháp đến thuê bao hợp pháp có thể bị giám sát, và kết hợp với khóa Ki đã biết có thể xác định khóa Kc sử dụng trong mã hóa thông tin dữ liệu. Cách tấn công này có thể thực hiện trong bất cứ MS nào và có thể thực hiện khi cách xa hàng cây số.