追踪位置是小事,5G漏洞可能用于军事打击

2019-11-16

几天前,雷锋网报道了 11 个 5G 漏洞被研究人员发现的事,不少安全业内人士表示被这个消息震惊。

原因在于,普渡大学与艾奥瓦大学安全研究人员发现的这些漏洞可被黑客利用对用户进行实时位置追踪监视、触发紧急警报或神不知鬼不觉的让 5G 手机掉线。

事实上,这些 5G 漏洞造成的影响还不止这些:可用于跟踪受害者的实时位置,将受害者的服务降级到旧的移动数据网络,增加流量耗费,跟踪受害者拨打的电话,发送的短信以及浏览的网络记录,影响 5G 连接的电话与网络。

随后,奇安信红雨滴团队对此进行了进一步分析,他们提出:“结合此前我们编写的《Sim卡及移动端核弹漏洞密集爆发:近期网络战顶级数字武器解析》https://mp.weixin.qq.com/s/IYirZdVfKnAFzAYXSkdvzw一文中提到的Sim卡漏洞攻击被网军利用两年之久才被发现这一情况,而未来蜂窝移动通信技术也必将被网军通过漏洞进行间谍活动,这也是网络对抗的必然之路。”

这样一看,这些漏洞的危害可能就更大了。

以下文章转载自奇安信,雷锋网已获授权。

随之而来的新威胁

在对这一见证历史的时刻表示激动的同时,在正在进行中的2019年ACM SIGSAC计算机和通信安全会议(11.11-15),来自普渡大学(Purdue University)和爱荷华大学(University of Iowa)的安全研究人员发现了11个5G漏洞,其中分别能够造成以下不等的影响:

可用于跟踪受害者的实时位置,

将受害者的服务降级到旧的移动数据网络,

增加流量耗费

跟踪受害者拨打的电话,发送的短信以及浏览的网络记录。

5G连接的电话与网络。

更糟糕的是,研究人员说,一些新的攻击也可能在现有的 3G 和 4G 网络上被利用,大概有 5 个漏洞。而这些漏洞都统统被继承到5G了。

负责这项研究的普渡大学移动安全研究员 Syed Rafiul Hussain 说:“开始这项工作时,我们有一种直觉,那就是还有更多的漏洞要寻找。”由于 4G 和 3G 的许多安全功能已被采用到 5G ,因此前几代的漏洞很有可能也继承到 5G 。此外,5G 的新功能可能尚未经过严格的安全评估。因此,发现这些漏洞在他们的预期之内。

5G 的好处是它可以保护电话标识符,例如设备的“国际移动用户身份”,以帮助防止跟踪或针对性攻击。但是,像研究人员发现的那样的降级攻击,便可以将设备降低到 4G 或使其进入受限服务模式,然后强制其发送未加密的 IMSI 号码。

网络越来越多地使用称为临时移动用户身份的替代 ID,该 ID 会定期刷新以进行跟踪。但是研究人员还发现了一些缺陷,这些缺陷可能使他们可以覆盖 TMSI 重置,或者将旧设备和新 TMSI 关联起来,以跟踪设备。进行这些攻击仅需要花费数百美元的软件无线电进行捕获。

概念科普:

在移动通信中,IMSI(International Mobile Subscriber Identity,国际移动用户识别码)用于在全球范围唯一标识一个移动用户。IMSI保存在HLR、VLR和SIM卡中,可以在无线网络及核心网络中传送。一个 IMSI 唯一标识一个移动用户,在全世界都是有效的。

为防止 IMSI 被拦截获取,因此采用另外一种号码临时代替 IMSI 在网络中进行传递,即 TMSI(Temporary Mobile Subscriber Identity,临时移动用户标识)。采用 TMSI 来临时代替 IMSI 的目的为了加强系统的保密性,防止非法个人或团体通过监听无线路径上的信令窃取 IMSI 或跟踪用户的位置。

5GReasoner工具

在本章进行之前,先普及一下概念。

5G 的网络架构主要包括 5G 接入网和 5G 核心网,其中 NG-RAN 代表5 G 接入网,5GC 代表 5G 核心网。5G 接入网主要包含以下两个节点:

gNB - 为5G网络用户提供 NR 的用户平面和控制平面协议和功能

ng-eNB - 为4G网络用户提供 NR 的用户平面和控制平面协议和功能 

其中 gNB 和 gNB 之间,gNB 和 ng-eNB 之间,ng-eNB 和 gNB 之间的接口都为 Xn 接口 。

下图为 4G 到 5G 的演变:

追踪位置是小事,5G漏洞可能用于军事打击

回到原来的话题,研究人员加深他们此前发现,因此在 2019 年 3 月,也是他们的团队发现了同时影响 4G 和 5G 网络的三大漏洞,分别为 Torpedo、Piercer 和 IMSI-Cracking 攻击。

追踪位置是小事,5G漏洞可能用于军事打击

而现如今,他们构建了一个名为5GReasoner的新工具,该工具用于发现了11个新的5G漏洞,而这些漏洞,都可以通过创建恶意的无线电基站,然后对用于监视和破坏的目标连接移动通信设备从而进行多次攻击。 

通过阅读研究人员的论文,我们发现了一些攻击细节。

追踪位置是小事,5G漏洞可能用于军事打击

在一次攻击中,研究人员表示,他们能够获得受害者电话的新旧临时网络标识符,即上面普及的 TMSI 。

从而使他们能够发现寻呼时机,该寻呼时机可用于跟踪电话的位置,甚至劫持寻呼信道进行广播虚假的紧急警报。研究人员说,这可能导致“人为混乱”,也就是会通过这个警报制止一些正常服务进行,有点类似于中间人攻击。( 6月,科罗拉多大学博尔德分校的研究人员在 4G 协议中发现了类似的漏洞。)

追踪位置是小事,5G漏洞可能用于军事打击

此外,还有另一种攻击会针对来自蜂窝网络的目标电话创建“长时间”拒绝服务攻击。

追踪位置是小事,5G漏洞可能用于军事打击

在某些情况下,这些缺陷可能被用来将蜂窝连接降级为不太安全的标准,这使得执法人员和有能力的黑客可以使用专业的“黄貂鱼”设备对目标发起监视攻击。

新论文的合著者之一赛德·拉菲尔·侯赛因(Syed Rafiul Hussain)表示,所有具有 4G 和 5G 网络实践知识并具有低成本软件无线电的人都可以利用所有这些新攻击。

5GReasoner 工具还在 5G 标准的一部分中发现了问题,该问题管理着诸如初始设备注册,注销和寻呼之类的事情,该问题会通知移动通信设备有关来电和短信的信息。根据运营商实施该标准的方式,攻击者可以通过重复发送相同的消息或命令来发起“重放”攻击,从而损耗目标的移动账单。这是 5G 标准措辞含糊不清的一个例子,可能会导致运营商在实施该标准时表现不佳,例如流量扣费不清晰,账单异常等等。

追踪位置是小事,5G漏洞可能用于军事打击

5GReasoner工具架构,就有很好的参考意义 。

下图为安全研究人员通过5GReasoner工具发现的所有漏洞缺陷列表。

追踪位置是小事,5G漏洞可能用于军事打击

 

为帮助业界在蜂窝移动通信技术安全性研究更加顺利,奇安信威胁情报中心大致将表格中提及的关键漏洞进行了归类,以方便同行从中获取灵感。

1、Location Tracking

位置追踪,即追踪使用5G设备的当前所处位置

2、Service profiling

服务分析,即显示NAS序列号,5G NAS(Non-Standalone,非独立组网)。

3、Downgrade from 5G

从5G降级,便可以将设备降低到4G或使其进入受限服务模式,然后强制其发送未加密的IMSI号码。

4、Dos攻击,分为StealthyDoS 隐形拒绝服务,Prolonged DoS长时间拒绝服务,DoS,重放攻击可导致超额计费。

5、若寻呼消息中没有完整性检查,即可发送警告信息,从而导致网络中断等。

6、强制改变设备当前状态,导致电池电量耗尽

7、SUPI catching,即可SUPI捕获,手机的真实身份在5G里称为SUPI(SUbscriptionPermanent Identifier)(类似IMSI),通过公钥加密后的密文称为SUCI(SUbscription Concealed Identifier),SUCI传送给基站后,基站直接上传至核心网。

而在2G/3G/4G一直存在的IMSI Catcher问题,SUPI本是其解决方案,但照此看来,缺陷依然存在。 

因此由此表格便可大致对如今市面上常见的在蜂窝移动通信技术上所暴露的漏洞种类,其中若有表达不准确的说法,欢迎留言交流。 

总结 

鉴于漏洞的性质,研究人员表示,他们没有计划公开发布其概念验证漏洞利用代码。但是,研究人员将发现的结果通知了代表全球蜂窝网络的贸易机构GSM协会(GSMA)。

尽管研究人员被 GSMA的移动安全“成名堂”所认可,但发言人克莱尔·克兰顿(Claire Cranton)表示,这些漏洞在实际影响较小。GSMA没有透露是否可以修复漏洞,也没有透露修复时间。但他们表示,日后会对 5G 标准中一些措辞进行改正。

但结合此前我们编写的《Sim卡及移动端核弹漏洞密集爆发:近期网络战顶级数字武器解析https://mp.weixin.qq.com/s/IYirZdVfKnAFzAYXSkdvzw一文中提到的Sim卡漏洞攻击被网军利用两年之久才被发现这一情况,而未来蜂窝移动通信技术也必将被网军通过漏洞进行间谍活动,这也是网络对抗的必然之路。

追踪位置是小事,5G漏洞可能用于军事打击

在这类“无声”0day漏洞攻击在网络战场中,作为情报刺探、目标定位、资产探测等具有极其深远意义。