移动通信切换过程中的新漏洞影响2G以来的所有移动网络
研究人员在 2G、3G、4G 和 5G 移动通信网络的“切换程序”(handover)中发现了新漏洞,攻击者可以利用这些漏洞强制目标手机连接到伪基站并通信窃听。纽约大学阿布扎比分校的研究人员 Evangelos Bitsikas 和 Christina 的最新论文中披露这一安全漏洞,切换是现代移动蜂窝网络的基础机制,攻击者可以利用该机制使用低成本设备发起拒绝服务(DoS)和中间人(MitM)攻击。
纽约大学阿布扎比分校的研究人员 Evangelos Bitsikas 和 Christina P在一篇题目为《Don’t hand it Over: Vulnerabilities in the Handover Procedure of Cellular Telecommunications》新论文中说。这个问题影响了自 2G (GSM) 以来的所有移动通信网络,至今仍未解决。
切换,属于移动通信网络中的技术术语。是指当移动台在通话过程中从一个基站覆盖区移动到另一个基站覆盖区,或者由于外界干扰而造成通话质量下降时,必须改变原有的话音信道而转接到一条新的空闲话音信道上去,以继续保持通话的过程。切换是移动通信系统中一项非常重要的技术,切换失败会导致掉话,影响网络的运行质量。这种方法对于建立移动通信至关重要,尤其是在用户移动的情况下。
该例程通常如下工作:用户设备(UE)向网络发送信号强度测量以确定是否需要切换,如果需要,在发现更合适的目标站时促进切换。
虽然这些信号读数受到密码保护,但这些报告中的内容本身未经验证,因此允许攻击者强制设备移动到攻击者操控的蜂窝站点。攻击的症结在于源基站无法对测量报告中的错误值进行处理,增加了恶意切换不被发现的可能性。
简而言之,新的假基站攻击使基于上述加密测量报告和信号功率阈值的切换过程变得脆弱,有效地使对手能够建立中间人中继,甚至窃听、丢弃、修改和转发设备和网络之间传输的消息。
研究人员表示,如果攻击者通过包括他/她的测量来操纵[测量报告 的内容,那么网络将处理虚假测量。这可以通过模仿合法基站并重放其广播消息来实现。
最直接的后果是将设备“吸引”到假基站。攻击的起点是初始侦察阶段,攻击者利用智能手机收集与附近合法站点有关的数据,然后使用这些信息来配置冒充真正基站的恶意基站。
该攻击随后涉及通过广播主信息块 (MIB) 和系统信息块 (SIB) 消息(帮助手机连接到网络所必需的信息)以比模拟的信号强度更高的信号强度来强制受害者的设备连接到虚假站。
在欺骗 UE 连接到冒名顶替基站并迫使设备向网络报告虚假测量结果时,目标是触发切换事件并利用过程中的安全漏洞导致 DoS、MitM 攻击和信息泄露影响用户和运营商。这不仅会损害用户的隐私,还会使服务的可用性面临风险。
当UE在攻击者的覆盖范围内时,流氓基站有足够高的信号功率来‘吸引UE并触发测量报告,那么攻击者很有可能迫使受害UE附着到他/她的流氓基站 。
一旦UE连接到攻击者,它可能会由于拒绝服务 (DoS) 攻击而进入驻留模式并变得无响应,或者攻击者可以建立中间人 (MitM)中继构建其他高级漏洞利用的基础。
在切换过程中发现了多达六个安全漏洞(从上图中的 A 到 F):
- 不安全的广播消息(MIB、SIB)
- 未经验证的测量报告
- 准备阶段缺少交叉验证
- 无验证的随机接入信道(RACH)启动
- 缺少恢复机制
- 区分网络故障和攻击的难度
在实验设置中,研究人员发现所有测试设备,包括OnePlus 6、苹果 iPhone 5、三星S10的5G版 和华为 Pro P40的5G版,都容易受到DoS和中间人攻击。调查结果已在本月早些时候举行的年度计算机安全应用会议(ACSAC)上公布。
在对抗这种攻击的措施方面,论文中称有过许多相关的研究工作,调查网络和UE的检测能力,试图确定最好的指标,以揭示虚假基站的存在。然而,这些传统的检测机制,如移动应用程序或网络监听器,并不能防止切换攻击,因为终端本身没有能力对恶意基站实施安全措施,而且攻击完成后很可能被检测到。相反,攻击者可以利用这些应用程序和他/她的恶意终端来协助他/她的网络侦察。另一方面,作者认为,通过将检测置于切换的准备阶段,结合丰富的测量报告,在每次重连接尝试构成弹性切换过程之前,用公钥基础设施来签署广播消息和加密的系统查询(它们揭示当前基站是否拥有证明其合法性的AS安全上下文)。
参考资源:
1.https://thehackernews.com/2021/12/new-mobile-network-vulnerabilities.html?web_view=true&m=1
2.https://dl.acm.org/doi/10.1145/3485832.3485914
原文来源:网空闲话
“投稿联系方式:孙中豪 010-82992251 sunzhonghao@cert.org.cn”
