今週の攻撃: LTE 経由の音声通話 (ReVoLTE)

翻訳者およびTL;DRより

1. TL; DR：

   VoLTE は、WEP を使用した最初の Wi-Fi クライアントよりもさらに保護が劣っていることが判明したようです。 トラフィックを少し XOR してキーを復元できるという、唯一のアーキテクチャ上の誤算です。 発信者の近くにいて、発信者が頻繁に電話をかける場合、攻撃が行われる可能性があります。

2. ヒントとTL;DRをありがとう クルコニン

3. 研究者は、携帯通信会社が脆弱かどうかを判断するアプリを作成しました。詳細を読む ここで。 コメントで結果を共有してください。Megafon の私の地域では VoLTE が無効になっています。

著者について

マシュー・グリーン。

私は暗号学者であり、ジョンズ・ホプキンス大学の教授です。 私は、ワイヤレス ネットワーク、支払いシステム、デジタル コンテンツ セキュリティ プラットフォームで使用される暗号化システムを設計および分析してきました。 私の研究では、ユーザーのプライバシーを向上させるために暗号化を使用するさまざまな方法を検討しています。

久しぶりに投稿形式を書きました 「今週の攻撃」、そしてそれは私を動揺させました。 攻撃がなかったからではありませんが、主に、私をライターブロックから抜け出すほど広く使用されているものに対する攻撃がなかったからです。

でも今日出会ったのは 興味深い攻撃 私が特にハッキングに興奮しているプロトコル、つまりセルラー ネットワーク (ボイス オーバー) LTE プロトコルを ReVoLTE と呼びます。 実際のセルラー ネットワーク プロトコルや実装がハッキングされるのを見るのは非常に珍しいため、私はこれらの特定のプロトコル、そしてこの新しい攻撃に興奮しています。 その主な理由は、これらの基準が煙の充満した部屋で開発され、12000 ページの文書に文書化されており、すべての研究者が扱えるわけではないからです。 さらに、これらの攻撃を実行すると、研究者は複雑な無線プロトコルを使用する必要があります。

したがって、重大な暗号化の脆弱性が世界中に広がり、おそらく研究者が気付かないうちに政府によって悪用される可能性があります。 しかし、場合によっては例外もあり、今日の攻撃もそのひとつだ。

著者 攻撃寄稿者: ルール大学ボーフム校およびニューヨーク大学アブダビ校の David Rupprecht、Katharina Kohls、Thorsten Holz、Christina Pöpper。 これは、おそらくすでに使用している音声プロトコルにキーを再インストールするための素晴らしい攻撃です (あなたがまだ携帯電話を使用して電話をかけている古い世代であると仮定します)。

まずは簡単な歴史探訪から。

LTEとVoLTEとは何ですか?

現代の携帯電話規格の基礎は、80 年代にヨーロッパで定められた規格です。 モバイル向けグローバルシステム (移動体通信のためのグローバル システム)。 GSM は最初の主要なデジタル携帯電話規格であり、次のような多くの革新的な機能が導入されました。 暗号化 電話を保護するため。 初期の GSM は主に音声通信のために設計されましたが、お金がかかる可能性もありました。 他のデータを送信する.

セルラー通信においてデータ伝送の重要性が高まるにつれ、この種の通信を合理化するためにロング・ターム・エボリューション (LTE) 標準が開発されました。 LTE は、GSM などの古い規格のグループに基づいています。 EDGE и HSPA データ交換速度を向上させるように設計されています。 ブランド品もたくさんありますし、 誤った指定により誤解を招くただし、LTE は古いパケット データ プロトコルと将来のセルラー データ テクノロジの間の橋渡しとして機能するデータ送信システムであるということです。 5G.

もちろん、十分な (IP) 帯域幅が利用可能になると、「音声」や「データ」などの概念があいまいになり始めることは歴史が物語っています。 同じことが最新の携帯電話プロトコルにも当てはまります。 この移行をよりスムーズにするために、LTE 標準では次のように定義されています。 ボイスオーバーLTE (VoLTE) は、セルラー ネットワークのダイヤルアップ部分を完全にバイパスして、LTE システムのデータ プレーン上で音声通話を直接伝送するための IP 標準です。 標準と同様に VoIP通話,VoLTE 通話は携帯電話会社によって終了され、通常の電話ネットワークに接続されます。 あるいは（ますます一般的になってきていますが） ルーティング可能 ある携帯電話クライアントから別の携帯電話クライアントに直接、さらには異なるプロバイダー間でも。

標準 VoIP と同様に、VoLTE は XNUMX つの一般的な IP ベースのプロトコルに基づいています: セッション開始プロトコル (セッション開始プロトコル – SIP) 通話セットアップ、およびリアルタイム トランスポート プロトコル (リアルタイムトランスポートプロトコル、音声データを処理するための RTTP と呼ばれるべきですが、実際には RTP と呼ばれます）。 VoLTE では、ヘッダー圧縮などの帯域幅の最適化も追加されています。

さて、これは暗号化と何の関係があるのでしょうか?

LTEなど GSMには、パケットが無線で送信されるときに暗号化するための暗号化プロトコルの標準セットがあります。 これらは主に、電話 (ユーザー機器または UE と呼ばれる) と携帯電話の塔 (またはプロバイダーが接続の終了を決定した場所) の間を移動するデータを保護するように設計されています。 これは、携帯電話プロバイダーが外部の盗聴デバイスを敵とみなしているためです。 もちろんです。

(ただし、VoLTE 接続が異なるプロバイダー ネットワーク上のクライアント間で直接発生する可能性があるという事実は、VoLTE プロトコル自体に、より上位のネットワーク層で発生できる追加のオプションの暗号化プロトコルがいくつかあることを意味します。これは、現在の記事とは関係ありませんが、それらはすべてを台無しにする可能性があります (それらについては次に簡単に説明します)。

歴史的に、GSM の暗号化は 多くの弱点： 悪い 暗号、電話のみがタワーに対して認証されるプロトコル (攻撃者がタワーになりすまして、 「スティングレイ」） 等々。 LTE は、同じ構造をほとんど維持しながら、明らかなバグの多くを修正しました。

暗号化自体から始めましょう。 鍵の作成がすでに行われていると仮定すると (これについては後ほど説明します)、データの各パケットは、「EEA」と呼ばれるもの (実際には AES などを使用して実装できます) を使用したスト​​リーム暗号化を使用して暗号化されます。 基本的に、ここでの暗号化メカニズムは次のとおりです。 CTR以下のように：

VoLTE パケットの主な暗号化アルゴリズム (出典: ReVolLTE）。 EEA は暗号、「COUNT」は 32 ビット カウンタ、「BEARER」は VoLTE 接続を通常のインターネット トラフィックから区別する一意のセッション ID です。 「DIRECTION」は、トラフィックがどの方向（UE からタワーへ、またはその逆）に流れているかを示します。

暗号化アルゴリズム自体（EEA）はAESのような強力な暗号を使用して実装できるため、今回のような暗号自体に対する直接的な攻撃は考えられません。 GSMの時代に起こった。 ただし、たとえ強力な暗号を使用していても、この暗号化スキームが自分自身を傷つける素晴らしい方法であることは明らかです。

特に、LTE 標準では、カウンター (および「ベアラー」や「方向」などのその他の入力) が再利用された場合に非常に脆弱になるモードの (認証されていない) ストリーム暗号が使用されています。 現代の用語では、この概念を「ノンス再利用攻撃」と呼びますが、ここでの潜在的なリスクは現代的なものではありません。 それらは有名で古く、グラムメタルやディスコの時代にまで遡ります。

CTR モードでの nonce 再利用に対する攻撃は、Poison が知られるようになってからも存在していました。

公平を期すために言うと、LTE 規格では「これらのメーターを再利用しないでください」と規定されています。 しかし、LTE 規格は約 7000 ページもあり、いずれにしても、子供たちに銃で遊ばないでくれと懇願しているようなものです。 それらは必然的に起こり、恐ろしいことが起こるでしょう。 この場合の攻撃は、XNUMX つの異なる機密メッセージの同じキーストリーム バイトの XOR を行うキーストリーム再利用攻撃です。 これは知られています 通信の機密性に非常に破壊的な影響を与える.

ReVolLTEとは何ですか？

ReVoLTE 攻撃は、実際には、この非常に脆弱な暗号化設計が現実のハードウェアによって悪用されていることを示しています。 具体的には、著者らは商用機器を使用して行われた実際の VoLTE 通話を分析し、「キー再インストール攻撃」と呼ばれるものを使用できることを示しています。 (この問題を発見した功績は大きいです。 ライゼとルー (Raza と Lu) は、潜在的な脆弱性を最初に指摘しました。 しかし、ReVolLTE の研究により、それが実際的な攻撃に変わりました)。

攻撃の本質を簡単にお見せしましょう。 ソースドキュメント.

LTE がパケット データ接続を確立すると、Voice over LTE のタスクは、残りのすべてのトラフィックとともにその接続上で音声パケットをルーティングするだけになると考える人もいるかもしれません。 つまり、VoLTEはこれからしか存在しない概念となるのです。 レベル2 [OSIモデル – 約。]。 これは完全に真実ではありません。

実際、LTE リンク層には「ベアラー」という概念が導入されています。 ベアラーは、異なるタイプのパケット トラフィックを分離する個別のセッション ID です。 通常のインターネット トラフィック (Twitter と Snapchat) は XNUMX つのベアラーを通過します。 VoIP の SIP シグナリングは別のサーバーを経由し、音声トラフィック パケットは XNUMX 番目のサーバーを経由して処理されます。 私は LTE 無線とネットワーク ルーティング メカニズムについてはあまり詳しくありませんが、LTE ネットワークが異なるパケット ストリームが異なる優先レベルで処理されるように QoS (サービス品質) メカニズムを強制したいため、このように行われていると思います。 あなたのもの 二流 Facebook への TCP 接続は、リアルタイム音声通話よりも優先度が低い場合があります。

これは通常は問題ありませんが、次のような結果が生じます。 LTE 暗号化用のキーは、新しい「ベアラー」がインストールされるたびに個別に作成されます。 基本的に、新しい電話をかけるたびに、この問題が再び発生します。 これにより、通話ごとに異なる暗号化キーが使用されることになり、XNUMX つの異なる音声通話パケットのセットを暗号化するために同じキーを再利用する可能性がなくなります。 実際、LTE 標準には、「新しい通話を処理するために新しいベアラーをインストールするたびに、異なるキーを使用する必要がある」というようなことが記載されています。 しかし、これはこれが実際に起こることを意味するものではありません。

実際、実際の実装では、時間的に近接して発生する XNUMX つの異なる呼び出しは、それらの間に同じ名前の新しいベアラーが設定されているにもかかわらず、同じキーを使用します。 これらの呼び出しの間に発生する唯一の実質的な変更は、暗号化カウンターがゼロにリセットされることです。 文献では、これは時々呼ばれます キー再インストール攻撃。 これは本質的に実装ミスであると主張する人もいるかもしれませんが、この場合のリスクは主に標準自体に起因しているように見えます。

実際には、この攻撃によりキー ストリームが再利用され、攻撃者は暗号化されたパケット $inline$C_1 = M_1 oplus KS$inline$ および $inline$C_2 = M_2 oplus KS$inline$ を取得し、$inline$ の計算を可能にします。 C_1 プラス C_2 = M_1 プラス M_2$inline$。 さらに良いのは、攻撃者が $inline$M_1$inline$ または $inline$M_2$inline$ のいずれかを知っている場合、もう一方をすぐに回復できることです。 これは彼に強い動機を与えます XNUMX つの暗号化されていないコンポーネントのうちの XNUMX つを見つけます.

これにより、完全かつ最も効果的な攻撃シナリオが得られます。 標的の電話機と携帯電話基地局の間の無線トラフィックを傍受できる攻撃者が、どういうわけか幸運にも XNUMX つの異なる通話を録音でき、最初の通話の直後に XNUMX 番目の通話が行われたとします。 ここで、彼が通話の XNUMX つで暗号化されていない内容を何らかの方法で推測できたと想像してください。 そのような 偶然 攻撃者は、XNUMX つのパケット セット間の単純な XOR を使用して、最初の呼び出しを完全に復号化できます。

もちろん、運は関係ありません。 電話機は通話を受信するように設計されているため、最初の通話を盗聴できる攻撃者は、最初の通話が終了したまさにその瞬間に XNUMX 番目の通話を開始することができます。 この XNUMX 回目の呼び出しで、カウンターをゼロにリセットして同じ暗号化キーを再度使用すると、暗号化されていないデータを回復できます。 さらに、攻撃者は実際に XNUMX 回目の呼び出し中にデータを制御しているため、特別に実装された多くの機能のおかげで、最初の呼び出しの内容を復元できます。 ささいなこと、彼の側で遊んでいます。

以下は一般的な攻撃計画の画像です。 元の書類:

攻撃の概要から ReVolLTEドキュメント。 このスキームは、XNUMX つの異なる呼び出しが同じキーを使用して行われることを前提としています。 攻撃者はパッシブ スニファー (左上) と XNUMX 台目の電話を制御し、これを使用して被害者の電話に XNUMX 回目の電話をかけることができます。

それで、攻撃は本当に機能するのでしょうか？

一方で、これが ReVolLTE に関する記事の実際の主要な質問です。 上記のアイデアはすべて理論的には優れていますが、多くの疑問が残ります。 のような：

1. (学術研究者にとって) VoLTE 接続を実際に傍受することは可能ですか?
2. 実際の LTE システムは実際にキーを更新しますか?
3. 実際に、電話機とタワーがキーを再利用できるほど迅速かつ確実に XNUMX 番目の通話を開始できますか?
4. システムがキーを再作成したとしても、XNUMX 番目の呼び出しの暗号化されていないコンテンツを実際に知ることができますか。コーデックやトランスコーディングなどにより、XNUMX 番目の呼び出しの (ビットごとの) コンテンツが完全に変更される可能性があることを考えると、たとえ「ビット」にアクセスできたとしても、 「攻撃用の電話から来ていますか？

ReVolLTE の研究は、これらの質問のいくつかに肯定的に答えます。 著者らは、市販のソフトウェアで再構成可能なラジオ ストリーム スニッファを使用しています。 エアスコープ ダウンリンク側からの VoLTE 通話を傍受します。 (ソフトウェアを理解し、それがどのように機能するかを大まかに理解するだけで、貧しい大学院生の生活は何ヶ月もかかったと思います。これはこの種の学術研究ではよくあることです)。

研究者らは、キーの再利用が機能するには、最初の呼び出しが終了した後、XNUMX 回目の呼び出しが十分早く行われる必要があるが、速すぎないことが必要であることを発見しました。実験したオペレーターでは約 XNUMX 秒でした。 幸いなことに、ユーザーがこの時間内 (つまり「呼び出し音」) に電話に応答するかどうかは問題ではありません。 SIP 接続自体は、オペレータに同じキーの再利用を強制します。

したがって、最も悪質な問題の多くは、問題 (4)、つまり攻撃者が開始した通話の暗号化されていないコンテンツのビットを受信することを中心に展開しています。 これは、コンテンツが携帯電話ネットワークを介して攻撃者の電話から被害者の電話に送信される際に、さまざまなことが起こる可能性があるためです。 たとえば、エンコードされたオーディオ ストリームを再エンコードするなどの汚いトリックです。これにより、サウンドは同じですが、バイナリ表現が完全に変更されます。 LTE ネットワークは RTP ヘッダー圧縮も使用します。これにより、RTP パケットの大部分が大幅に変更される可能性があります。

最後に、攻撃者によって送信されたパケットは、最初の通話中に送信されたパケットとほぼ一致している必要があります。 通話中に無音部分を変更すると、元の通話とうまく適合しない短いメッセージ (別名コンフォート ノイズ) が生成されるため、これは問題となる可能性があります。

セクション「現実世界の攻撃」 詳しく読む価値があります。 これは、上記の問題の多くに対処します。特に、一部のコーデックが再エンコードされないこと、およびターゲット コールのバイナリ表現の約 89% が復元できることを著者らは発見しました。 これは、テストされた少なくとも XNUMX つのヨーロッパの通信事業者に当てはまります。

これは驚くほど高い成功率であり、率直に言って、このドキュメントの作成に取り組み始めたときに予想していたよりもはるかに高かったです。

では、それを修正するにはどうすればよいでしょうか?

この質問に対する即座の答えは非常に簡単です。脆弱性の本質はキーの再利用 (再インストール) 攻撃であるため、単に問題を修正するだけです。 電話をかけるたびに新しいキーが取得されるようにし、同じキーを使用してパケット カウンタがカウンタをゼロにリセットしないようにしてください。 問題が解決しました！

またはそうでないかもしれません。 これには多くの機器をアップグレードする必要があり、率直に言って、そのような修正自体はあまり信頼性が高くありません。 標準規格が、デフォルトではこのようなキーの再利用の問題に対して致命的な脆弱性を持たない暗号化モードを実装する、より安全な方法を見つけられれば素晴らしいと思います。

考えられるオプションの XNUMX つは、次のとおりです。 nonce の誤用が壊滅的な結果をもたらさない暗号化モード。 現在の一部のハードウェアにとってこれは高すぎるかもしれませんが、特に 5G 標準が世界を引き継ごうとしている中で、設計者が将来的に考慮すべき領域であることは確かです。

この新しい研究は、なぜなのかという一般的な疑問も提起しています。 同じような攻撃が次から次へと標準規格で出現し続ける、その多くは非常によく似た設計とプロトコルを使用しています。 WPA2 などの広く使用されている複数のプロトコル間で同じキーを再インストールするという問題に直面した場合、仕様とテスト手順をより堅牢にする時期が来たのではないかと思いませんか? 標準の実装者を、警告に注意を払う思慮深いパートナーとして扱うのはやめてください。 彼らを、必然的に物事を間違ってしまう（意図的ではない）敵対者のように扱います。

あるいは、Facebook や Apple などの企業が増えていること、つまり、携帯電話機器メーカーに依存せずに、OSI ネットワーク スタックの上位レベルで音声通話の暗号化を実現することもできます。 米国政府が停止すると仮定すれば、WhatsAppがSignalやFaceTimeで行っているように、音声通話のエンドツーエンド暗号化を推進することもできるだろう。 私たちをつまずかせる。 そうすれば、（一部のメタデータを除いて）これらの問題の多くは単に消えるでしょう。 このソリューションは、次のような世界に特に関連します。 政府ですら、機器サプライヤーを信頼できるかどうか確信が持てません.

あるいは、子どもたちがすでにやっているように、煩わしい音声通話に応答するのをやめることもできます。

出所： habr.com