Новые уязвимости 4G LTE: массовая рассылка сообщений, имперсонификация абонентских устройств и другие

в 8:41, , рубрики: 3gpp, 4G, dos-атака, imsi, LTE, LTEInspector, mitm, QXDM, SDR, USRP, Блог компании GlobalSign, информационная безопасность, программно-аппаратное радио, Стандарты связи

Новые уязвимости 4G LTE: массовая рассылка сообщений, имперсонификация абонентских устройств и другие - 1
Сетевая архитектура LTE

На прошедшей конференции по безопасности сетей и распределённых систем в Сан-Диего NDSS 2018 было немало интересного, но самое большое внимание привлёк доклад американских исследователей из Университета Айовы и Университета Пердью по уязвимостям в сетях связи четвёртого поколения (4G): LTEInspector: A Systematic Approach for Adversarial Testing of 4G LTE (pdf). Такое внимание объяснимо, учитывая широкую распространённость сетей 4G LTE.

Исследователи сосредоточились на анализе трёх критических процедур, которые используются в протоколе:

  • Attach — процедура, которая связывает абонентское устройство с сетью (например, при включении телефона).
  • Detach — осуществляется при выключении устройства или отключении сети (например из-за плохого качества сигнала или если телефон не может пройти проверку подлинности в сети).
  • Paging — этот протокол является частью установки вызова, чтобы форсировать на устройстве повторный приём системной информации, а также сообщений экстренного характера.


Новые уязвимости 4G LTE: массовая рассылка сообщений, имперсонификация абонентских устройств и другие - 2
Процедуры attach, paging и detach

Данные процедуры критически важны для надёжного функционирования остальных. Например, без корректного выполнения процедуры Attach не работает вся последующая цепочка безопасности и возникают серьёзные последствия вроде атак MiTM.

Для тестирования сетей LTE исследователи создали инструмент под названием LTEInspector, который запустили в релевантной модели (код на GitHub).

Новые уязвимости 4G LTE: массовая рассылка сообщений, имперсонификация абонентских устройств и другие - 3
Архитектура LTEInspector

Уязвимости найдены в модели упрощённой экосистемы LTE после проверки 14 свойств протокола, согласно стандартам. Хотя модель абстрактная и упрощённая, но исследователи проверили, что большинство новых атак (8 из 10) реализуемы на практике с SIM-картами американских операторов связи. Такие атаки обойдутся относительно недорого (стоимость оборудования от $1300 до $3900), если пренебречь юридическими последствиями. В большинстве случаев подобное тестирование в реальных условиях станет нарушением законодательства.

Новые уязвимости 4G LTE: массовая рассылка сообщений, имперсонификация абонентских устройств и другие - 4
Модель упрощённой экосистемы LTE

По итогам тестирования с помощью LTEInspector удалось обнаружить новые уязвимости, которые можно использовать для проведения 10 новых атак. Особняком среди них стоит атака с передачей аутентификации (authentication relay attack), которая позволяет злоумышленнику подключиться к основным сетям, выдав свой терминал за устройство жертвы. Таким способом можно подменить координаты регистрации устройства в сети — например, это можно использовать для создания «фальшивого алиби» или, наоборот, сфабриковать улики при расследовании уголовного преступления. Если телефон жертвы в момент преступления находился в районе места преступления, то эта информация станет известна следственным органам — и невиновный человек может попасть под подозрение.

Другие варианты использования обнаруженных уязвимостей — получение примерной информации о реальном местонахождении пользователя, атаки типа «отказ в обслуживании» (DoS), внедрение в paging-канал оператора. В последнем случае можно не только заблокировать получение жертвой звонков или SMS, но и передать ему сфабрикованное «экстренное» сообщение по служебным каналам сотовой связи.

Например, атака с передачей аутентификации относится к классу атак против процедуры attach (атака A-4 в таблице внизу). Здесь злоумышленник должен установить промежуточный узел сотовой связи (eNodeB) и знать IMSI устройства жертвы. Для корректной работы фальшивого узла сотовой связи нужно предварительно подключиться к сети оператора с его SIM-картой и узнать параметры, которые оператор передаёт в сообщениях system_info_block. Для перехвата и прослушки входящих и исходящих сообщений LTE используется сниффер и программа QXDM (Qualcomm Extensible Diagnostic-Monitor). Перехватываются следующие параметры конфигурации из сообщений system_info_block оператора: band, dl_earfcn, mcc, mnc, p0_nominal_pucch, p0_nominal_pusch, q_rx_lev_min, q_hyst, DRX cycle.

Номер IMSI абонентского устройства злоумышленник может узнать, когда оно подключиться к его узлу eNodeB. Тогда на устройство отправляется запрос identity_request — и приходит ответ identity_response.

Новые уязвимости 4G LTE: массовая рассылка сообщений, имперсонификация абонентских устройств и другие - 5
Атака с передачей аутентификации

Это самая «дорогая» атака, потому что для её валидации требуется установка сразу трёх устройств USRP стоимостью около $1300 каждое. Это необходимо, чтобы поднять собственную фиктивную сеть, аналогичную настоящей сети оператора, и осуществлять валидацию в ней, не нарушая закон.

USRP — периферийная аппаратная платформа для программно-определяемой радиосистемы (SDR). В полевых испытаниях исследователи использовали плату USRP B210 ($1315) с программой srsUE, которая входит в состав srsLTE (исходный код открыт в репозитории на GitHub).

В таблице перечислены все новые атаки, обнаруженные в ходе исследования. Семь из них полностью подтверждены на практике, одна частично (P-4), а две не подтверждены (P-3 и P-5). Стоимость валидации атаки варьируется от $1300 до $3900, в зависимости от количества необходимых плат USRP. Фактически, это максимальная стоимость оборудования для атаки, если не считать стоимости оконечного устройства (UE). В реальности USRP можно найти дешевле, а в некоторых случаях для реальной атаки не нужно столько USRP, как для её валидации.

ID Название атаки Условия Стандарт/субъект Следствия
A-1 Ошибка синхронизации аутентификации Известный IMSI, вредоносное UE 3GPP Отказ в подключении, отказ в сервисе
A-2 Отслеживаемость Валидная команда security_mode, вредоносный eNodeB Сети операторов, мобильные устройства Примерная информация о местоположении
A-3 Отключение через auth_reject вредоносный eNodeB 3GPP Отказ во всех сотовых сервисах
A-4 Передача аутентификации Известный IMSI, вредоносный eNodeB 3GPP, сети операторов Чтение входящих/исходящих сообщений жертвы, скрытное отключение всех или определённых сервисов, подмена истории местоположений
P-1 Захват канала paging Известный IMSI, вредоносный eNodeB 3GPP Скрытное отключение входящих сервисов
P-2 Незаметный сброс Известный IMSI, вредоносный eNodeB 3GPP Незаметное для жертвы отключение от сети
P-3 Паника Вредоносный eNodeB 3GPP Массовая рассылка экстренных предупреждений об угрозе жизни: например, искусственный хаос в случае террористической деятельности
P-4 Истощение энергии Известный IMSI, GUTI, вредоносный eNodeB 3GPP Истощение батареи
P-5 Связываемость Известный IMSI или старый псевдо-IMSI 3GPP, расширенный 5G AKA Примерная информация о местоположении
D-1 Отключение/понижение Вредоносный eNodeB, известный IMSI (для таргетированной версии) 3GPP Отказ в сервисе, понижение до 2G/3G

Отметим что атаки типа «Паника» действительно способны вызвать хаос у населения. В январе 2018 года Агентство по чрезвычайным ситуациям Гавайских островов по ошибке разослало экстренное сообщение о приближении баллистической ракеты, испугав местных жителей, которые массово направились в бомбоубежища.

Авторы исследования скептически относятся к возможности закрыть выявленные уязвимости в существующих протоколах. По их словам, если ретроспективно добавлять меры безопасности в действующие протоколы, не нарушая обратной совместимости, то это часто приводит к ненадёжным решениям типа «заплаток». Поэтому перед применением протоколов связи важно сначала их тщательно тестировать.

Автор: GlobalSign_admin

Источник

Поделиться

* - обязательные к заполнению поля