4G LTE数据链路层出现安全漏洞
导语:近日,德国Ruhr-University Bochum和New York University Abu Dhabi的研究人员发现4G LTE协议栈数据链路层存在漏洞,并描述了与之相关的2种被动攻击和1种主动攻击方式。
一、简介
近日,德国Ruhr-University Bochum和New York University Abu Dhabi的研究人员公布了被IEEE S&P 2019录用的一篇文章“Breaking LTE on Layer Two”,研究人员通过分析4G LTE协议栈发现了数据链路层存在漏洞,并描述了与之相关的3种攻击方式。其中2种攻击是被动攻击,分别是身份映射攻击和执行网站指纹识别的方法。第3种攻击是一种主动攻击——aLTEr,攻击者可以通过执行 DNS 欺骗来重定向网络连接。
二、被动攻击
在被动攻击中,攻击者可以收集用户流量的元信息(meta-information)进行身份映射攻击(identity mapping attack),第二个被动攻击可以决定用户通过LTE设备访问的网址,即网站指纹攻击(website fingerprinting attack)。
身份映射攻击
在被动攻击中不会干扰网络的正常连接,只能通过窃听的手段获取流量中的数据。窃听者Eve通过在Bob附近部署一个嗅探设备来实现这一点。因此,她可以访问Bob发送给网络以及从网络接收到的所有信息。尽管数据链路层的数据都是经过加密保护的,攻击者仍然可以获得在通信过程中的元数据(例如:数据传输的时间和频率)。
网站指纹
数据链路层的元信息可以泄露关于单位时间数据消耗的信息。例如,当Bob观看视频时的流量肯定比他访问简单的网站大。作为攻击的前奏,Eve可以记录访问一些常见网站时的数据链路层的元信息特征(也就是网站指纹),在窃听到一些元信息之后,根据网站指纹去匹配,有比较大的概率可以知道目标访问了哪个网站。
三、aLTEr攻击
因为主动攻击具有入侵的能力,可以通过DNS欺骗将用户重定向到恶意站点,所以研究人员将主动攻击命名为aLTEr。在主动攻击中,攻击者通过模拟合法的网络或用户设备向网络或设备发送信号。在我们的实验中,攻击者可以同时拦截并重放Bob 和网络之间传输的所有数据。在Bob眼中,所有的访问都是正常的,不会有任何明显的异常。
用户数据重定向
LTE是在数据链路层以上的层使用相互认证来防止Bob的手机连接到假的网络。但是,攻击者可以转发高层的消息到不受保护的低层。用户数据重定向攻击的核心就是利用用户数据不受完整性保护。因此,如果攻击者知道原始的明文,即使数据包是加密的,攻击者也可以修改数据包的内容。对于DNS数据包,我们知道原始DNS服务器的地址,攻击者可以通过添加特定的偏移量,将DNS重定向到攻击者可控制的DNS服务器。
DNS欺骗
恶意的DNS服务器执行DNS欺骗,将正常的域名解析到恶意的IP地址。手机在访问一个网站的时候,实际访问的就是攻击者指定的恶意网站。DNS欺骗是互联网上常见的攻击,在攻击者控制DNS服务器的下一跳即可发动攻击。跟用户数据重定向攻击相比,攻击者只需要靠近受害者即可执行此类攻击。
LTE弱加密
这三种攻击漏洞存在于LTE的数据链路层和控制层,数据链路层负责传输用户的真实数据;控制层负责确保用户的4G连接。漏洞存在的一个原因是未对数据链路层进行保护,所以攻击者可以拦截、改变、中继修改后的包到真实的基站。同样的4G数据包没有进行完整性保护,也就是说即使数据加密了,也可以修改数据的位。
LTE对用户数据进行了计数器模式加密(AES-CTR)但未进行完整性校验,因此aLTEr攻击利用了这一点来修改消息payload:加密算法是可扩展的,攻击者可以将密文修改,然后加密为相关的明文。
为了演示aLTEr攻击的可行性,研究人员在实验室环境中的商用网络和商用电话内实施了全面的端到端攻击。通过软件无线电系统实现了基于开源LTE软件栈srsLTE的LTE中继。使用屏蔽盒来稳定无线电层并防止被真实网络的意外打断。另外,设置了两台服务器来模拟攻击者如何重定向网络连接:一台DNS服务器,对特定的DNS查询回复恶意的IP地址;一台HTTP服务器,模拟用户登录页面,IP就是DNS回复的恶意IP,视频演示如下:
https://www.youtube.com/watch?v=H85lsA9Y0Yg
四、影响
实施这三针攻击需要特殊和昂贵的设备、定制的软件。为实施这样的攻击,攻击者需要使用专门的硬件(软件定义无线电)和定制的LTE协议栈。还需要一个受控的环境来确保在可接受的时间内测试成功。aLTEr和其他攻击在现实中是不适用的,研究人员称截止目前普通用户无需担心。
研究人员称政客和记者可能是此类攻击的主要目标。
影响5G标准?
研究人员已将漏洞相关情况通报给了GSM Association (GSMA),3rd Generation Partnership Project (3GPP)和相关公司,并称漏洞会影响5G标准。也有专家称5G标准中含有额外的安全特征(数据层的强加密)来防止aLTEr攻击的产生,但这些安全特征不是必选项。
更多关于攻击的情况可以参考https://alter-attack.net/。