背景
2019年中国国际信息通信展览会10月31日在北京开幕。开幕论坛上,工业和信息化部与三大电信运营商、中国铁塔举办5G商用启动仪式,这标志着我国5G商用进入新征程。同日,中国移动、中国电信、中国联通正式发布各自的5G套餐。5G基础套餐最低从128元起,最高至599元,套餐中包含移动流量从30GB到300GB不等。
随之而来的新威胁
在对这一见证历史的时刻表示激动的同时,在正在进行中的2019年ACM SIGSAC计算机和通信安全会议(11.11-15),来自普渡大学(Purdue University)和爱荷华大学(University of Iowa)的安全研究人员发现了11个5G漏洞,其中分别能够造成以下不等的影响:
可用于跟踪受害者的实时位置,
将受害者的服务降级到旧的移动数据网络,
增加流量耗费
跟踪受害者拨打的电话,发送的短信以及浏览的网络记录。
5G连接的电话与网络。
更糟糕的是,研究人员说,一些新的攻击也可能在现有的3G和4G网络上被利用,大概有5个漏洞。而这些漏洞都统统被继承到5G了。
负责这项研究的普渡大学移动安全研究员Syed Rafiul Hussain说:“开始这项工作时,我们有一种直觉,那就是还有更多的漏洞要寻找。”由于4G和3G的许多安全功能已被采用到5G,因此前几代的漏洞很有可能也继承到5G。此外,5G的新功能可能尚未经过严格的安全评估。因此发现这些漏洞在他们的预期之内。
5G的好处是它可以保护电话标识符,例如设备的“国际移动用户身份”,以帮助防止跟踪或针对性攻击。但是,像研究人员发现的那样的降级攻击,便可以将设备降低到4G或使其进入受限服务模式,然后强制其发送未加密的IMSI号码。
网络越来越多地使用称为临时移动用户身份的替代ID,该ID会定期刷新以进行跟踪。但是研究人员还发现了一些缺陷,这些缺陷可能使他们可以覆盖TMSI重置,或者将旧设备和新TMSI关联起来,以跟踪设备。进行这些攻击仅需要花费数百美元的软件无线电进行捕获。
概念科普:
在移动通信中,IMSI(International Mobile Subscriber Identity,国际移动用户识别码)用于在全球范围唯一标识一个移动用户。IMSI保存在HLR、VLR和SIM卡中,可以在无线网络及核心网络中传送。一个IMSI唯一标识一个移动用户,在全世界都是有效的。
为防止IMSI被拦截获取,因此采用另外一种号码临时代替IMSI在网络中进行传递,即TMSI(Temporary Mobile Subscriber Identity,临时移动用户标识)。采用TMSI来临时代替IMSI的目的为了加强系统的保密性,防止非法个人或团体通过监听无线路径上的信令窃取IMSI或跟踪用户的位置。
5GReasoner工具
在本章进行之前,先普及一下概念。
5G的网络架构主要包括5G接入网和5G核心网,其中NG-RAN代表5G 接入网,5GC代表5G核心网。5G接入网主要包含以下两个节点:
gNB - 为5G网络用户提供NR的用户平面和控制平面协议和功能
ng-eNB - 为4G网络用户提供NR的用户平面和控制平面协议和功能
其中gNB和gNB之间,gNB和ng-eNB之间,ng-eNB和gNB之间的接口都为Xn接口
下图为4G到5G的演变:
回到原来的话题,研究人员加深他们此前发现,因此在2019年3月,也是他们的团队发现了同时影响4G和5G网络的三大漏洞,分别为Torpedo、Piercer和IMSI-Cracking攻击
而现如今,他们构建了一个名为5GReasoner的新工具,该工具用于发现了11个新的5G漏洞,而这些漏洞,都可以通过创建恶意的无线电基站,然后对用于监视和破坏的目标连接移动通信设备从而进行多次攻击。
通过阅读研究人员的论文,我们发现了一些攻击细节。
在一次攻击中,研究人员表示,他们能够获得受害者电话的新旧临时网络标识符,即上面普及的TMSI。
从而使他们能够发现寻呼时机,该寻呼时机可用于跟踪电话的位置,甚至劫持寻呼信道进行广播虚假的紧急警报。研究人员说,这可能导致“人为混乱”,也就是会通过这个警报制止一些正常服务进行,有点类似于中间人攻击。(6月,科罗拉多大学博尔德分校的研究人员在4G协议中发现了类似的漏洞。)
此外,还有另一种攻击会针对来自蜂窝网络的目标电话创建“长时间”拒绝服务攻击。
在某些情况下,这些缺陷可能被用来将蜂窝连接降级为不太安全的标准,这使得执法人员和有能力的黑客可以使用专业的“黄貂鱼”设备对目标发起监视攻击。
新论文的合著者之一赛德·拉菲尔·侯赛因(Syed Rafiul Hussain)表示,所有具有4G和5G网络实践知识并具有低成本软件无线电的人都可以利用所有这些新攻击。
5GReasoner工具还在5G标准的一部分中发现了问题,该问题管理着诸如初始设备注册,注销和寻呼之类的事情,该问题会通知移动通信设备有关来电和短信的信息。根据运营商实施该标准的方式,攻击者可以通过重复发送相同的消息或命令来发起“重放”攻击,从而损耗目标的移动账单。这是5G标准措辞含糊不清的一个例子,可能会导致运营商在实施该标准时表现不佳,例如流量扣费不清晰,账单异常等等。
5GReasoner工具架构,就有很好的参考意义
下图为安全研究人员通过5GReasoner工具发现的所有漏洞缺陷列表。
为帮助业界在蜂窝移动通信技术安全性研究更加顺利,奇安信威胁情报中心大致将表格中提及的关键漏洞进行了归类,以方便同行从中获取灵感。
1、Location Tracking
位置追踪,即追踪使用5G设备的当前所处位置
2、Service profiling
服务分析,即显示NAS序列号,5G NAS(Non-Standalone,非独立组网)。
3、Downgrade from 5G
从5G降级,便可以将设备降低到4G或使其进入受限服务模式,然后强制其发送未加密的IMSI号码。
4、Dos攻击,分为StealthyDoS 隐形拒绝服务,Prolonged DoS长时间拒绝服务,DoS,重放攻击可导致超额计费。
5、若寻呼消息中没有完整性检查,即可发送警告信息,从而导致网络中断等。
6、强制改变设备当前状态,导致电池电量耗尽
7、SUPI catching,即可SUPI捕获,手机的真实身份在5G里称为SUPI(SUbscriptionPermanent Identifier)(类似IMSI),通过公钥加密后的密文称为SUCI(SUbscription Concealed Identifier),SUCI传送给基站后,基站直接上传至核心网。
而在2G/3G/4G一直存在的IMSI Catcher问题,SUPI本是其解决方案,但照此看来,缺陷依然存在。
因此由此表格便可大致对如今市面上常见的在蜂窝移动通信技术上所暴露的漏洞种类,其中若有表达不准确的说法,欢迎留言交流。
总结
鉴于漏洞的性质,研究人员表示,他们没有计划公开发布其概念验证漏洞利用代码。但是,研究人员将发现的结果通知了代表全球蜂窝网络的贸易机构GSM协会(GSMA)。
尽管研究人员被 GSMA的移动安全“成名堂”所认可,但发言人克莱尔·克兰顿(Claire Cranton)表示,这些漏洞在实际影响较小。GSMA没有透露是否可以修复漏洞,也没有透露修复时间。但他们表示,日后会对5G标准中一些措辞进行改正。
但结合此前我们编写的《Sim卡及移动端核弹漏洞密集爆发:近期网络战顶级数字武器解析》一文中提到的Sim卡漏洞攻击被网军利用两年之久才被发现这一情况,而未来蜂窝移动通信技术也必将被网军通过漏洞进行间谍活动,这也是网络对抗的必然之路。
可反映出这类“无声”0day漏洞攻击在网络战场中,作为情报刺探、目标定位、资产探测等具有极其深远意义,奇安信威胁情报中心也将持续关注通信安全领域威胁情报。
参考论文:
http://www.documentcloud.org/documents/6544575-5GReasoner.html
声明:本文来自奇安信威胁情报中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。