导语:研究人员对4G LTE协议的几个关键步骤进行了安全和隐私相关的分析,并找出协议的设计缺陷以及不安全的应用过程。

4G网络是电信基础设施的关键部分,不仅会对经济、公共安全等造成影响,还会对我们个人生活带来便利以及潜在的影响。本文分析4G LTE网络的安全和隐私的潜在风险,以及带来的不良影响。

LTE网络架构

LET网络是由UE用户设备、无线电访问网络radio access network(E-UTRAN)和核心网等组件组成的。UE是含有SIM识别的移动电话设备,SIM卡安全地存储了用户的IMSI号、身份识别和认证中用到的加密密钥。IMEI是UE的设备唯一识别码,有了IMSI和IMEI就可以追踪或窃听用户了。

E-UTRAN

LTE网络中的地理区域被分为各种六边形的单元,每个单元由一个基站提供服务。通过运营商的骨干网络给附件的UE提供互联网接入服务。eNode可以看做是UE和EPC之间的媒介。本质上讲,E-UTRAN就是UE和eNodeB,eNodeB对之间的网络。

lte1.PNG

EPC

MME(mobility management entity,移动管理实体)。MME管理UE的attach(包括认证和密钥管理)、paging、detach步骤;也负责特定记录区域的UE的位置记录。

HSS(home subscriber server,家庭)。HSS负责存储UE身份信息(IMSI和IMEI)和订阅数据和加密master密钥,加密master密钥可以对每个不同的subscriber生成认证请求和对称回话密钥。

Attach步骤

UE与eNodeB建立连接一共分4步。

1. 识别。UE通过eNodeB发送attach_request消息到MME,消息中含有没问的IMSI等身份信息和安全能力。

2. 认证。为了验证UE的真实性,MME在收到HSS生成的认证请求后,会发送authentication_request消息到UE。然后UE用master key解答请求,并发送authentication_response消息到UE。如果认证成功,UE和MME就进入安全算法协商。

3. 安全算法协商。MEE会从attach_request中的安全能力中选择一个UE支持的算法对。然后,MEE发送完整性保护的security_mode_command消息到UE,在UE中,MME会重放UE的安全能力,这样就可以确认security_mode_command消息中的安全能力和UE发送的attach_request中的安全能力一致。在对security_mode_command中的消息认证码MAC进行验证后,MME会发送加密和经过完整性保护的security_mode_complete消息。UE和MME就创建了共享的安全环境,包括保护消息交换完整性和机密性的共享密钥。

4. 安全临时ID交换。MEE会发送加密和完整性保护的attach_accept消息给UE,其中attach_accept消息中含有一个给UE的临时ID——GUTI(Globally Unique Temporary Identity)。为了防止敏感IMSI/IMEI信息的泄露,GUTI用于之后所有UE和eNodeB/MME之间的通信。UE发送attach_complete消息后就结束了attach步骤。UE和eNodeB会生成一个用于安全通信的共享密钥作为安全环境。

Paging分页

当UE与网络进行通信时,会不断用tracking_area_update_request消息向MME更新位置信息。如果UE没有需要发送的数据,就会以节能(空闲)模式工作,并周期性地唤醒来检查paging消息。

MME-intiated paging。当MME要定位空闲的UE或者需要下发来电或短信这样的网络服务时,MME会让所有的记录区域内的所有eNodeB对特定UE生成paging消息。eNodeB会出现在paging区域后会广播paging消息到所有UE。Paging消息含有UE的身份,比如GUTI或IMSI。MME会经常发送含有GUTI的消息,GUTI会从UE接受service_request消息。如果MME因为attach阶段的网络失败,没有成功分配新的GUTI到UE,MME就会发送含有IMSI的paging消息。在接收含有IMSI消息的paging消息后,UE会进入detached状态,进入下一个attach阶段。

eNodeB-initaited paging。当需要通知UE进行:1)更改系统;2)紧急情况;3)地震、海啸预警等时,eNodeB可以生成没有MME参与的paging消息。

Detach阶段

UE/MME可以选择通过生成含有cause of detach的datach_request消息来终止已建立的连接。

攻击分析

对attach步骤的攻击

Authentication synchronization failure attack认证同步失败攻击。
该攻击利用UE的序列号sanity检查来破坏attach过程。恶意攻击者通过MME与HSS交互来确保UE的序列号与HSS的序列号是不同步的。通过合法的auth_request消息接收到的认证请求就不能通过UE的sanity检查并最终被UE丢弃。

lte5.PNG

Tracealibity攻击。ENodeB单元中的UE与恶意eNodeB建立连接后,恶意eNodeB就会重放获取的security_mode_command消息给所有的UE。受害者UE会验证接收到的消息的完整性和UE的安全能力,并以security_mode_complete消息回应;而其他UE会因为完整性校验失败以security_mode_reject消息回应。恶意eNodeB就可以识别特定UE的存在了。

lte6.PNG

Numb攻击。攻击者会注入无序的控制面板协议消息来严重影响受害UE的服务。

当受害UE与恶意eNodeB建立连接后,恶意eNodeB会发送auth_reject消息给受害UE。

对paging过程的攻击

Stealthy kicking off攻击。

在劫持了受害UE的paging channel后,恶意的eNodeB会创建含有受害UE IMSI的paging记录的paging消息。攻击者会将paging记录的其他域设置为何原始的paging消息一致。受害UE在收到含有IMSI的paging消息后,会在第一个paging记录中找到IMSI。最后,断开与EPC的连接,然后发送attach_request消息。该攻击还可以被用作认证重复攻击的前奏,造成的影响是破坏服务。

lte7.PNG

针对detach过程的攻击

Detach/downgrade攻击

在攻击中,攻击者会向网络中注入detach_request来破坏UE的服务。攻击步骤见下图8-a。当受害UE连接到恶意eNodeB时,会发送给网络一个初始化的detach_request消息,该消息会强制让UE进入断开连接的状态并发送detach_accept消息。

lte8.PNG

Detach/downgrade攻击变种。

攻击步骤如图8-b,攻击在detach_request发送之前,eNodeB会发送一个identity_request请求消息,然后UE用含有UE IMSI的identity_response消息。如果IMSI在攻击者的受害者列表中,就会发送detach_request,否则就忽略该UE。

后果和影响

漏洞可导致身份欺骗和信息拦截,研究人员认为他们发现的问题可能并不会得到修复。因为过去也曾发现过类似的 4G LTE 攻击,但至今仍未修复。

更多攻击场景和细节参见论文LTEInspector: A Systematic Approach for Adversarial Testing of 4G LTE。

源链接

Hacking more

...