tl; dr - i protocolli sono stati sviluppati prima che il MITM venisse percepito come una minaccia; l'infrastruttura distribuita che ora serve miliardi di telefoni cellulari in tutto il mondo non può essere facilmente modificata per aggiungere la convalida della torre cellulare; e i governi non hanno interesse a risolvere questo problema.
I protocolli dei telefoni cellulari differiscono dai protocolli IP in quanto non sono mai stati una rete peer-to-peer di dispositivi non fidati. I telefoni cellulari originali erano analogici, con solo un piccolo canale di dati digitali per trasportare le informazioni sulla chiamata. Questi protocolli analogici furono sviluppati negli anni '70 quando le micro-CPU non avevano quasi alcun potere o spazio di archiviazione, e l'unica idea di sicurezza era assicurare una fatturazione accurata. Lavorando anche a favore delle aziende cellulari, l'unica apparecchiatura autorizzata a trasmettere su quelle frequenze era sotto il pieno controllo dei produttori cellulari; aziende come Motorola avevano un blocco virtuale su tutte le apparecchiature su entrambe le estremità della chiamata. Il protocollo che hanno creato è stato tale che i telefoni cellulari si fidano implicitamente delle torri cellulari per tutte le informazioni operative: misurazioni dell'intensità del segnale (per ottimizzare la durata della batteria), ID di rete (per addebiti e tariffe di roaming) e requisiti di crittografia (che devono essere disattivati in base alla giurisdizione.) Il telefono risponde con il proprio ID per registrarsi per ricevere le informazioni sulle chiamate in arrivo e la società telefonica autentica l'ID per garantire la corretta fatturazione. Ma in tutto questo, il telefono non autentica mai la torre.
Inoltre, tutti questi metadati sono scambiati in chiaro. Quando arrivarono i protocolli cellulari digitali come il GSM, nel modello di sicurezza non era cambiato molto. Negli anni '90, la principale minaccia alla sicurezza era costituita da intercettazioni, quindi negli Stati Uniti furono emanate leggi che proibivano di ascoltare le telefonate. I dati vocali digitali sono stati facilmente crittografati per proteggere la privacy delle chiamate (presumibilmente un'agenzia governativa ha garantito la selezione di algoritmi di crittografia deboli). In caso contrario, i protocolli cellulari esistenti continuavano a funzionare senza molti problemi di sicurezza (i problemi di sicurezza venivano definiti principalmente dal aziende cellulari come "persone che hackerano i nostri sistemi per effettuare chiamate gratuite".)
Le razze e altri catturanti IMSI violano gli accordi della torre cellulare producendo un segnale illegale, fingendo di essere una torre cellulare. Forgiano una risposta di forza del segnale "eccellente", che fa sì che il telefono non commuti le torri. Si identificano come vari ID di rete comuni, pertanto i telefoni non si spostano per evitare costi di roaming. Controllano il flag di crittografia, che farà sì che un telefono riduca la sicurezza all'algoritmo meno sicuro o disabiliti completamente la crittografia. Per quanto riguarda un MITM, possono trasferire i dati delle chiamate telefoniche a una torre legittima, oppure possono semplicemente inviare un codice di errore che l'utente vede come un errore di chiamata.
In nessuna parte del progetto del protocollo si pensava agli attori malintenzionati che trasmettevano sulle frequenze autorizzate. L'uso illegale di onde radio è stato a lungo un crimine, e il loro approccio originale era legale: "se qualcuno tenta persino di falsificare un cellulare, li faremo arrestare e rinchiudere per un decennio".
Ma si scopre che non tutti hanno paura di commettere un crimine, meno di tutti i dipartimenti di polizia armati di mandati e pastinache. I ricercatori privati hanno anche sfruttato le falle nella legge, dove trasmettono i segnali delle celle cellulari legalmente su frequenze senza licenza (la banda ISM). Questa stessa banda viene assegnata per l'uso cellulare in paesi stranieri, quindi un telefono quad-band negli Stati Uniti riceverà felicemente i segnali falsi.