移動通信切換過程中的新漏洞影響2G以來的所有移動網絡
研究人員在 2G、3G、4G 和 5G 移動通信網絡的“切換程序”(handover)中發現了新漏洞,攻擊者可以利用這些漏洞強制目標手機連接到偽基站并通信竊聽。紐約大學阿布扎比分校的研究人員 Evangelos Bitsikas 和 Christina 的最新論文中披露這一安全漏洞,切換是現代移動蜂窩網絡的基礎機制,攻擊者可以利用該機制使用低成本設備發起拒絕服務(DoS)和中間人(MitM)攻擊。
紐約大學阿布扎比分校的研究人員 Evangelos Bitsikas 和 Christina P在一篇題目為《Don’t hand it Over: Vulnerabilities in the Handover Procedure of Cellular Telecommunications》新論文中說。這個問題影響了自 2G (GSM) 以來的所有移動通信網絡,至今仍未解決。
切換,屬于移動通信網絡中的技術術語。是指當移動臺在通話過程中從一個基站覆蓋區移動到另一個基站覆蓋區,或者由于外界干擾而造成通話質量下降時,必須改變原有的話音信道而轉接到一條新的空閑話音信道上去,以繼續保持通話的過程。切換是移動通信系統中一項非常重要的技術,切換失敗會導致掉話,影響網絡的運行質量。這種方法對于建立移動通信至關重要,尤其是在用戶移動的情況下。
該例程通常如下工作:用戶設備(UE)向網絡發送信號強度測量以確定是否需要切換,如果需要,在發現更合適的目標站時促進切換。
雖然這些信號讀數受到密碼保護,但這些報告中的內容本身未經驗證,因此允許攻擊者強制設備移動到攻擊者操控的蜂窩站點。攻擊的癥結在于源基站無法對測量報告中的錯誤值進行處理,增加了惡意切換不被發現的可能性。
簡而言之,新的假基站攻擊使基于上述加密測量報告和信號功率閾值的切換過程變得脆弱,有效地使對手能夠建立中間人中繼,甚至竊聽、丟棄、修改和轉發設備和網絡之間傳輸的消息。
研究人員表示,如果攻擊者通過包括他/她的測量來操縱[測量報告 的內容,那么網絡將處理虛假測量。這可以通過模仿合法基站并重放其廣播消息來實現。
最直接的后果是將設備“吸引”到假基站。攻擊的起點是初始偵察階段,攻擊者利用智能手機收集與附近合法站點有關的數據,然后使用這些信息來配置冒充真正基站的惡意基站。
該攻擊隨后涉及通過廣播主信息塊 (MIB) 和系統信息塊 (SIB) 消息(幫助手機連接到網絡所必需的信息)以比模擬的信號強度更高的信號強度來強制受害者的設備連接到虛假站。
在欺騙 UE 連接到冒名頂替基站并迫使設備向網絡報告虛假測量結果時,目標是觸發切換事件并利用過程中的安全漏洞導致 DoS、MitM 攻擊和信息泄露影響用戶和運營商。這不僅會損害用戶的隱私,還會使服務的可用性面臨風險。
當UE在攻擊者的覆蓋范圍內時,流氓基站有足夠高的信號功率來‘吸引UE并觸發測量報告,那么攻擊者很有可能迫使受害UE附著到他/她的流氓基站 。
一旦UE連接到攻擊者,它可能會由于拒絕服務 (DoS) 攻擊而進入駐留模式并變得無響應,或者攻擊者可以建立中間人 (MitM)中繼構建其他高級漏洞利用的基礎。
在切換過程中發現了多達六個安全漏洞(從上圖中的 A 到 F):
- 不安全的廣播消息(MIB、SIB)
- 未經驗證的測量報告
- 準備階段缺少交叉驗證
- 無驗證的隨機接入信道(RACH)啟動
- 缺少恢復機制
- 區分網絡故障和攻擊的難度
在實驗設置中,研究人員發現所有測試設備,包括OnePlus 6、蘋果 iPhone 5、三星S10的5G版 和華為 Pro P40的5G版,都容易受到DoS和中間人攻擊。調查結果已在本月早些時候舉行的年度計算機安全應用會議(ACSAC)上公布。
在對抗這種攻擊的措施方面,論文中稱有過許多相關的研究工作,調查網絡和UE的檢測能力,試圖確定最好的指標,以揭示虛假基站的存在。然而,這些傳統的檢測機制,如移動應用程序或網絡監聽器,并不能防止切換攻擊,因為終端本身沒有能力對惡意基站實施安全措施,而且攻擊完成后很可能被檢測到。相反,攻擊者可以利用這些應用程序和他/她的惡意終端來協助他/她的網絡偵察。另一方面,作者認為,通過將檢測置于切換的準備階段,結合豐富的測量報告,在每次重連接嘗試構成彈性切換過程之前,用公鑰基礎設施來簽署廣播消息和加密的系統查詢(它們揭示當前基站是否擁有證明其合法性的AS安全上下文)。
參考資源:
1.https://thehackernews.com/2021/12/new-mobile-network-vulnerabilities.html?web_view=true&m=1
2.https://dl.acm.org/doi/10.1145/3485832.3485914
原文來源:網空閑話
“投稿聯系方式:孫中豪 010-82992251 sunzhonghao@cert.org.cn”
