Oddi wrth y cyfieithydd a TL; DR
-
TL; DR:
Mae'n ymddangos bod VoLTE wedi'i warchod hyd yn oed yn waeth na'r cleientiaid Wi-Fi cyntaf gyda WEP. Camgyfrifiad pensaernïol yn unig sy'n eich galluogi i XOR y traffig ychydig ac adfer yr allwedd. Mae ymosodiad yn bosibl os ydych yn agos at y galwr a'i fod yn gwneud galwadau'n aml.
-
Diolch am y tip a TL; DR
-
Mae ymchwilwyr wedi gwneud ap i benderfynu a yw'ch cludwr yn agored i niwed, darllenwch fwy . Rhannwch y canlyniadau yn y sylwadau, mae VoLTE wedi'i analluogi yn fy rhanbarth ar Megafon.
Am y Awdur
Matthew Green.
Rwy'n cryptograffydd ac yn athro ym Mhrifysgol Johns Hopkins. Rwyf wedi dylunio a dadansoddi systemau cryptograffig a ddefnyddir mewn rhwydweithiau diwifr, systemau talu, a llwyfannau diogelwch cynnwys digidol. Yn fy ymchwil, rwy'n edrych ar wahanol ffyrdd o ddefnyddio cryptograffeg i wella preifatrwydd defnyddwyr.
Mae wedi bod yn amser ers i mi ysgrifennu fformat post , ac fe'm cynhyrfodd. Nid oherwydd nad oedd ymosodiadau, ond yn bennaf oherwydd nad oedd ymosodiad ar rywbeth a ddefnyddiwyd yn ddigon eang i fy nghael allan o floc yr awdur.
Ond heddiw des i ar draws o'r enw ReVoLTE ar gyfer protocolau yr wyf yn arbennig o gyffrous am eu hacio, sef protocolau LTE rhwydwaith cellog (llais). Rwy'n gyffrous am y protocolau penodol hyn - a'r ymosodiad newydd hwn - oherwydd mae'n anghyffredin iawn gweld protocolau a gweithrediadau rhwydwaith cellog gwirioneddol yn cael eu hacio. Yn bennaf oherwydd bod y safonau hyn wedi'u datblygu mewn ystafelloedd llawn mwg a'u dogfennu mewn dogfennau 12000 o dudalennau na all pob ymchwilydd eu trin. Ar ben hynny, mae gweithredu'r ymosodiadau hyn yn gorfodi ymchwilwyr i ddefnyddio protocolau radio cymhleth.
Felly, gallai gwendidau cryptograffig difrifol ledaenu ledled y byd, efallai dim ond i gael eu hecsbloetio gan lywodraethau, cyn i unrhyw ymchwilydd gymryd sylw. Ond o bryd i'w gilydd mae yna eithriadau, ac mae ymosodiad heddiw yn un ohonyn nhw.
Awduron Cyfranwyr: David Rupprecht, Katharina Kohls, Thorsten Holz a Christina Pöpper o Ruhr-University Bochum a Phrifysgol Efrog Newydd Abu Dhabi. Mae hwn yn ymosodiad gwych i ailosod yr allwedd yn y protocol llais rydych chi'n ei ddefnyddio yn ôl pob tebyg (gan dybio eich bod yn dod o genhedlaeth hŷn sy'n dal i wneud galwadau ffôn gan ddefnyddio ffôn symudol).
I ddechrau, taith hanesyddol fer.
Beth yw LTE a VolLTE?
Gosodwyd sail ein safonau teleffoni cellog modern yn Ewrop yn ôl yn yr 80au gan y safon (System Fyd-eang ar gyfer Cyfathrebu Symudol). GSM oedd y safon teleffoni cellog digidol mawr cyntaf, a gyflwynodd nifer o nodweddion chwyldroadol, megis y defnydd i amddiffyn galwadau ffôn. Cynlluniwyd GSM cynnar yn bennaf ar gyfer cyfathrebu llais, er y gallai arian fod .
Wrth i drosglwyddo data ddod yn bwysicach mewn cyfathrebiadau cellog, datblygwyd safonau Esblygiad Tymor Hir (LTE) i symleiddio'r math hwn o gyfathrebu. Mae LTE yn seiliedig ar grŵp o safonau hŷn fel GSM, и ac fe'i cynlluniwyd i gynyddu cyflymder cyfnewid data. Mae llawer o frandio a ond y TL; DR yw bod LTE yn system trosglwyddo data sy'n gweithredu fel pont rhwng protocolau data pecynnau hŷn a thechnolegau data cellog yn y dyfodol .
Wrth gwrs, mae hanes yn dweud wrthym unwaith y bydd digon o led band (IP) ar gael, bydd cysyniadau fel “llais” a “data” yn dechrau pylu. Mae'r un peth yn wir am brotocolau cellog modern. I wneud y trosglwyddiad hwn yn llyfnach, mae safonau LTE yn diffinio (VoLTE), sef safon IP ar gyfer cario galwadau llais yn uniongyrchol dros awyren ddata system LTE, gan osgoi rhan deialu'r rhwydwaith cellog yn gyfan gwbl. Fel gyda safon ,Gall galwadau VoLTE gael eu terfynu gan y gweithredwr cellog a'u cysylltu â'r rhwydwaith ffôn arferol. Neu (fel sy'n dod yn fwyfwy cyffredin) nhw непосредственно от одного сотового клиента к другому, и даже между разными провайдерами.
Fel VoIP safonol, mae VoLTE yn seiliedig ar ddau brotocol poblogaidd sy'n seiliedig ar IP: Protocol Cychwyn Sesiwn (Protocol Cychwyn Sesiwn). - SIP) ar gyfer gosod galwadau, a phrotocol trafnidiaeth amser real (, y dylid ei alw'n RTTP ond a elwir mewn gwirionedd yn RTP) ar gyfer prosesu data llais. Mae VoLTE hefyd yn ychwanegu rhai optimeiddiadau lled band ychwanegol, megis cywasgu penawdau.
Iawn, beth sydd gan hyn i'w wneud ag amgryptio?
LTE, fel , set safonol o brotocolau cryptograffig ar gyfer amgryptio pecynnau wrth iddynt gael eu trosglwyddo dros yr awyr. Maent wedi'u cynllunio'n bennaf i amddiffyn eich data wrth iddo deithio rhwng y ffôn (a elwir yn offer defnyddiwr, neu UE) a'r tŵr cell (neu ble bynnag y bydd eich darparwr yn penderfynu terfynu'r cysylltiad). Mae hyn oherwydd bod darparwyr cellog yn ystyried dyfeisiau clustfeinio allanol fel gelynion. Wel, wrth gwrs.
(Fodd bynnag, mae'r ffaith y gall cysylltiadau VoLTE ddigwydd yn uniongyrchol rhwng cleientiaid ar rwydweithiau darparwyr gwahanol yn golygu bod gan y protocol VoLTE ei hun rai protocolau amgryptio ychwanegol a dewisol a all ddigwydd ar haenau rhwydwaith uwch. Nid yw hyn yn berthnasol i'r erthygl gyfredol, ac eithrio'r ffaith bod gallant ddifetha popeth (byddwn yn siarad amdanynt yn fyr nesaf).
Yn hanesyddol, mae amgryptio yn GSM wedi bod : drwg , protocolau lle dim ond y ffôn a ddilyswyd i'r twr (sy'n golygu y gallai ymosodwr ddynwared y twr, gan gynhyrchu ) ac yn y blaen. Cywirodd LTE lawer o'r bygiau amlwg tra'n cynnal llawer o'r un strwythur.
Gadewch i ni ddechrau gydag amgryptio ei hun. Gan dybio bod creu allweddol eisoes wedi digwydd - a byddwn yn siarad am hynny mewn munud - yna mae pob pecyn o ddata yn cael ei amgryptio gan ddefnyddio amgryptio ffrwd gan ddefnyddio rhywbeth o'r enw "EEA" (y gellir ei weithredu'n ymarferol gan ddefnyddio pethau fel AES). Yn y bôn, mae'r mecanwaith amgryptio yma , как показано ниже:
Y prif algorithm amgryptio ar gyfer pecynnau VoLTE (ffynhonnell: ). Mae EEA yn seiffr, mae “COUNT” yn gownter 32-did, mae “BEARER” yn ddynodwr sesiwn unigryw sy'n gwahanu cysylltiadau VoLTE oddi wrth draffig Rhyngrwyd rheolaidd. Mae "CYFARWYDDYD" yn nodi i ba gyfeiriad y mae'r traffig yn llifo - o'r UE i'r tŵr neu i'r gwrthwyneb.
Gan y gellir gweithredu'r algorithm amgryptio ei hun (EEA) gan ddefnyddio seiffr cryf fel AES, mae'n annhebygol y bydd unrhyw ymosodiad uniongyrchol ar y seiffr ei hun fel hyn . Fodd bynnag, mae'n amlwg, hyd yn oed gyda cipher cryf, bod y cynllun amgryptio hwn yn ffordd wych o saethu'ch hun yn y droed.
Yn benodol: mae'r safon LTE yn defnyddio seiffr ffrwd (heb ei ddilysu) gyda modd a fydd yn hynod agored i niwed os bydd y cownter - a mewnbynnau eraill fel "cludwr" a "chyfarwyddyd" - byth yn cael eu hailddefnyddio. Mewn iaith fodern, y term am y cysyniad hwn yw “ymosodiad ail-ddefnyddio unwaith,” ond nid yw'r risgiau posibl yma yn rhywbeth modern. Maent yn enwog ac yn hynafol, yn dyddio'n ôl i ddyddiau glam metal a hyd yn oed disgo.
Roedd ymosodiadau ar beidio ag ailddefnyddio yn y modd CTR yn bodoli hyd yn oed pan ddaeth Gwenwyn yn hysbys
I fod yn deg, mae safonau LTE yn dweud, “Peidiwch ag ailddefnyddio'r mesuryddion hyn os gwelwch yn dda.” Ond mae safonau LTE tua 7000 o dudalennau o hyd, a beth bynnag, mae fel cardota i blant beidio â chwarae gyda gwn. Mae'n anochel y byddant, a bydd pethau ofnadwy yn digwydd. Mae'r gwn tanio yn yr achos hwn yn ymosodiad ailddefnyddio keystream, lle mae dwy neges gyfrinachol wahanol XOR yr un bytes keystream. Mae'n hysbys bod hyn .
Beth yw ReVoLTE?
Mae ymosodiad ReVoLTE yn dangos, yn ymarferol, bod y dyluniad amgryptio bregus iawn hwn yn cael ei gamddefnyddio gan galedwedd y byd go iawn. Yn benodol, mae'r awduron yn dadansoddi galwadau VoLTE go iawn a wneir gan ddefnyddio offer masnachol ac yn dangos y gallant ddefnyddio rhywbeth o'r enw "ymosodiad ailosod allweddol." (Mae llawer o glod am ddod o hyd i'r broblem hon yn mynd i (Raza a Lu), sef y cyntaf i dynnu sylw at y bregusrwydd posibl. Ond mae ymchwil ReVoLTE yn ei droi'n ymosodiad ymarferol).
Давайте я покажу вам вкратце суть атаки, хотя вам стоит посмотреть и .
Gellid tybio, unwaith y bydd LTE wedi sefydlu cysylltiad data pecyn, mai dim ond mater o lwybro pecynnau llais dros y cysylltiad hwnnw ynghyd â gweddill eich traffig i gyd yw'r dasg o leisio dros LTE. Mewn geiriau eraill, bydd VoLTE yn gysyniad sydd ond yn bodoli drosodd [modelau OSI - tua.]. Nid yw hyn yn hollol wir.
Mewn gwirionedd, mae'r haen gyswllt LTE yn cyflwyno'r cysyniad o "gludwr". Dynodwyr sesiwn ar wahân yw cludwyr sy'n gwahanu gwahanol fathau o draffig pecynnau. Mae traffig rhyngrwyd rheolaidd (eich Twitter a Snapchat) yn mynd trwy un cludwr. Mae signalau SIP ar gyfer VoIP yn mynd trwy un arall, ac mae pecynnau traffig llais yn cael eu prosesu trwy draean. Nid wyf yn wybodus iawn am radio LTE a mecanweithiau llwybro rhwydwaith, ond credaf ei fod wedi'i wneud fel hyn oherwydd bod rhwydweithiau LTE eisiau gorfodi mecanweithiau QoS (ansawdd gwasanaeth) fel bod ffrydiau pecynnau gwahanol yn cael eu prosesu ar wahanol lefelau blaenoriaeth: h.y. eich un chi ail-gyfradd Efallai y bydd gan gysylltiadau TCP â Facebook flaenoriaeth is na'ch galwadau llais amser real.
Yn gyffredinol, nid yw hyn yn broblem, ond mae'r canlyniadau fel a ganlyn. Mae allweddi amgryptio LTE yn cael eu creu ar wahân bob tro y gosodir “cludwr” newydd. Yn y bôn, dylai hyn ddigwydd eto bob tro y byddwch yn gwneud galwad ffôn newydd. Bydd hyn yn arwain at ddefnyddio allwedd amgryptio gwahanol ar gyfer pob galwad, gan ddileu'r posibilrwydd o ailddefnyddio'r un allwedd i amgryptio dwy set wahanol o becynnau galwadau llais. Yn wir, mae'r safon LTE yn dweud rhywbeth fel "dylech ddefnyddio allwedd wahanol bob tro y byddwch chi'n gosod cludwr newydd i drin galwad ffôn newydd." Ond nid yw hyn yn golygu bod hyn yn digwydd mewn gwirionedd.
Mewn gwirionedd, mewn gweithrediadau bywyd go iawn, bydd dwy alwad wahanol sy'n digwydd yn agos at amser yn defnyddio'r un allwedd - er gwaethaf y ffaith bod cludwyr newydd o'r un enw wedi'u ffurfweddu rhyngddynt. Yr unig newid ymarferol sy'n digwydd rhwng y galwadau hyn yw bod y rhifydd amgryptio yn cael ei ailosod i sero. Yn y llenyddiaeth gelwir hyn weithiau . Gellid dadlau mai gwall gweithredu yw hwn yn ei hanfod, er yn yr achos hwn mae'n ymddangos bod y risgiau'n deillio'n bennaf o'r safon ei hun.
Yn ymarferol, mae'r ymosodiad hwn yn arwain at ailddefnyddio ffrwd allweddol, lle gall yr ymosodwr gael y pecynnau wedi'u hamgryptio $inline$C_1 = M_1 a KS$inline$ a $inline$C_2 = M_2 a KS$inline$, gan ganiatáu cyfrifo $inline$ C_1 a C_2 = M_1 a M_2$inline$. Gwell fyth, os yw'r ymosodwr yn adnabod un o $inline$M_1$inline$ neu $inline$M_2$inline$, yna gall adfer y llall ar unwaith. Rhydd hyn gymhelliad cryf iddo darganfod un o'r ddwy gydran heb ei amgryptio.
Daw hyn â ni at y senario ymosod cyflawn a mwyaf effeithiol. Ystyriwch ymosodwr sy'n gallu rhyng-gipio traffig radio rhwng ffôn targed a thŵr cell, ac sydd rywsut yn mynd yn ddigon ffodus i recordio dau alwad wahanol, gyda'r ail yn digwydd yn syth ar ôl y cyntaf. Nawr dychmygwch y gallai rywsut ddyfalu cynnwys heb ei amgryptio un o'r galwadau. Gyda'r cyfryw serendipedd gall ein hymosodwr ddadgryptio'r alwad gyntaf yn llawn gan ddefnyddio XOR syml rhwng y ddwy set o becynnau.
Wrth gwrs, nid oes gan lwc ddim i'w wneud ag ef. Gan fod ffonau wedi'u cynllunio i dderbyn galwadau, bydd ymosodwr sy'n gallu clywed yr alwad gyntaf yn gallu cychwyn ail alwad ar yr union funud y daw'r un cyntaf i ben. Bydd yr ail alwad hon, os defnyddir yr un allwedd amgryptio eto gyda'r cownter ailosod i sero, yn caniatáu i'r data heb ei amgryptio gael ei adennill. Ar ben hynny, gan fod ein hymosodwr mewn gwirionedd yn rheoli'r data yn ystod yr ail alwad, gall adennill cynnwys yr alwad gyntaf - diolch i lawer a weithredwyd yn benodol pethau bach, yn chwarae ar ei ochr.
Dyma ddelwedd o'r cynllun ymosodiad cyffredinol a gymerwyd o :
Ymosodiad trosolwg o . Mae'r cynllun hwn yn rhagdybio bod dwy alwad wahanol yn cael eu gwneud gan ddefnyddio'r un allwedd. Mae'r ymosodwr yn rheoli'r sniffer goddefol (chwith uchaf), yn ogystal ag ail ffôn, y gall wneud ail alwad i ffôn y dioddefwr ag ef.
Felly a yw'r ymosodiad yn gweithio mewn gwirionedd?
С одной стороны, это действительно главный вопрос для статьи о ReVoLTE. Теоретически все вышеперечисленные идеи великолепны, но оставляют массу вопросов. Такие как:
- A yw'n bosibl (i ymchwilwyr academaidd) rhyng-gipio cysylltiad VoLTE mewn gwirionedd?
- A yw systemau LTE go iawn yn adrodd yn ôl mewn gwirionedd?
- A allwch chi mewn gwirionedd gychwyn ail alwad yn gyflym ac yn ddigon dibynadwy i'r ffôn a'r tŵr ailddefnyddio'r allwedd?
- Hyd yn oed os yw systemau'n cadw'r allwedd, a allwch chi wybod cynnwys yr ail alwad heb ei amgryptio - o ystyried y gall pethau fel codecau a thrawsgodio newid cynnwys (dipyn-wrth-did) yr ail alwad honno'n llwyr, hyd yn oed os oes gennych chi fynediad i'r "bits " yn dod o'ch ffôn ymosod?
Mae gwaith ReVoLTE yn ateb rhai o'r cwestiynau hyn yn gadarnhaol. Mae'r awduron yn defnyddio sniffer ffrwd radio masnachol y gellir ei ail-ffurfweddu â meddalwedd o'r enw i ryng-gipio galwad VoLTE o'r ochr downlink. (Rwy'n meddwl bod dim ond mynd i'r afael â'r meddalwedd a chael syniad bras o sut mae'n gweithio wedi cymryd misoedd oddi ar fywydau'r myfyrwyr graddedig tlawd - sy'n nodweddiadol ar gyfer y math hwn o ymchwil academaidd).
Исследователи обнаружили, что для срабатывания повторного использования ключа второй звонок должен произойти достаточно быстро после завершения первого, но не слишком – примерно через десять секунд для операторов, с которыми они экспериментировали. К счастью, не имеет значения, ответит ли пользователь на звонок в течение этого времени – «звонок», т.е. сама SIP-связь заставляет оператора повторно использовать один и тот же ключ.
Felly, mae llawer o'r problemau mwyaf swnllyd yn ymwneud â phroblem (4) - derbyn darnau o gynnwys heb ei amgryptio galwad a gychwynnwyd gan ymosodwr. Mae hyn oherwydd y gall llawer ddigwydd i'ch cynnwys wrth iddo deithio o ffôn yr ymosodwr i ffôn y dioddefwr dros y rhwydwaith cellog. Er enghraifft, mae triciau budr fel ail-amgodio ffrwd sain wedi'i amgodio, sy'n gadael y sain yr un peth, ond yn newid ei gynrychiolaeth ddeuaidd yn llwyr. Mae rhwydweithiau LTE hefyd yn defnyddio cywasgu pennawd RTP, a all newid llawer o'r pecyn CTRh yn sylweddol.
Yn olaf, dylai'r pecynnau a anfonir gan yr ymosodwr fod yn fras yn unol â'r pecynnau a anfonwyd yn ystod yr alwad ffôn gyntaf. Gall hyn fod yn broblematig oherwydd mae addasu'r distawrwydd yn ystod galwad ffôn yn arwain at negeseuon byrrach (sŵn cysur hefyd) nad ydynt efallai'n cyd-fynd yn dda â'r alwad wreiddiol.
Mae'n werth darllen yn fanwl. Mae'n mynd i'r afael â llawer o'r materion uchod - yn benodol, canfu'r awduron nad yw rhai codecau yn cael eu hail-amgodio, a bod modd adennill tua 89% o gynrychiolaeth ddeuaidd yr alwad darged. Mae hyn yn wir am o leiaf ddau weithredwr Ewropeaidd a gafodd eu profi.
Mae hon yn gyfradd llwyddiant rhyfeddol o uchel, ac a dweud y gwir yn llawer uwch nag yr oeddwn yn ei ddisgwyl pan ddechreuais weithio ar y ddogfen hon.
Felly beth allwn ni ei wneud i'w drwsio?
Mae'r ateb uniongyrchol i'r cwestiwn hwn yn syml iawn: gan mai ymosodiad ailddefnyddio (ailosod) allweddol yw hanfod y bregusrwydd, dim ond trwsio'r broblem yw hi. Gwnewch yn siŵr eich bod yn cael allwedd newydd ar gyfer pob galwad ffôn, a pheidiwch byth â gadael i'r cownter pecyn ailosod y rhifydd yn ôl i sero gan ddefnyddio'r un allwedd. Problem wedi'i datrys!
Neu efallai ddim. Bydd hyn yn gofyn am uwchraddio llawer o offer, ac, a dweud y gwir, nid yw atgyweiriad o'r fath ynddo'i hun yn hynod ddibynadwy. Byddai'n braf pe gallai safonau ddod o hyd i ffordd fwy diogel o weithredu eu dulliau amgryptio nad ydynt yn ddiofyn yn agored i broblemau ailddefnyddio allweddol yn drychinebus.
Un opsiwn posibl yw ei ddefnyddio . Gall hyn fod yn rhy ddrud ar gyfer rhai caledwedd cyfredol, ond yn sicr mae'n faes y dylai dylunwyr fod yn meddwl amdano yn y dyfodol, yn enwedig gan fod safonau 5G ar fin meddiannu'r byd.
Mae'r astudiaeth newydd hon hefyd yn codi cwestiwn cyffredinol pam , y mae llawer ohonynt yn defnyddio dyluniadau a phrotocolau tebyg iawn. Pan fyddwch chi'n wynebu'r broblem o ailosod yr un allwedd ar draws nifer o brotocolau a ddefnyddir yn eang fel WPA2, onid ydych chi'n meddwl efallai ei bod hi'n bryd gwneud eich manylebau a'ch gweithdrefnau profi yn fwy cadarn? Rhoi'r gorau i drin gweithredwyr safonau fel partneriaid meddylgar sy'n rhoi sylw i'ch rhybuddion. Trinwch nhw fel gwrthwynebwyr (anfwriadol) sy'n anochel yn mynd i gael pethau'n anghywir.
Neu, fel arall, gallwn wneud yr hyn y mae cwmnïau fel Facebook ac Apple yn ei wneud yn gynyddol: gwneud i amgryptio galwadau llais ddigwydd ar lefel uwch o bentwr rhwydwaith OSI, heb ddibynnu ar weithgynhyrchwyr offer cellog. Gallem hyd yn oed wthio am amgryptio galwadau llais o'r dechrau i'r diwedd, fel y mae WhatsApp yn ei wneud gyda Signal a FaceTime, gan dybio bod llywodraeth yr UD yn stopio . Yna (ac eithrio rhai metadata) byddai llawer o'r problemau hyn yn diflannu. Mae'r ateb hwn yn arbennig o berthnasol mewn byd lle .
Neu gallwn wneud yr hyn y mae ein plant eisoes wedi'i wneud: rhoi'r gorau i ateb y galwadau llais annifyr hynny.
Ffynhonnell: hab.com