Saka penerjemah lan TL;DR
-
TL; DR:
Katon yen VoLTE luwih dilindhungi tinimbang klien Wi-Fi pisanan sing nganggo WEP. Miscalculation eksklusif arsitektur sing ngijini sampeyan kanggo XOR lalu lintas sethitik lan mulihake tombol. Serangan bisa uga yen sampeyan cedhak karo sing nelpon lan dheweke kerep nelpon.
-
Matur nuwun kanggo tip lan TL; DR
-
Peneliti wis nggawe app kanggo nemtokake manawa operator sampeyan rawan, waca liyane . Nuduhake asil ing komentar, VoLTE dipateni ing wilayahku ing Megafon.
Babagan penulis
Matthew Green.
Aku cryptographer lan profesor ing Johns Hopkins University. Aku wis ngrancang lan nganalisa sistem kriptografi sing digunakake ing jaringan nirkabel, sistem pembayaran, lan platform keamanan konten digital. Ing risetku, aku ndeleng macem-macem cara nggunakake kriptografi kanggo nambah privasi pangguna.
Wis suwe ora nulis format kiriman , lan iku upset kula. Ora amarga ora ana serangan, nanging biasane amarga ora ana serangan ing bab sing cukup digunakake kanggo njaluk kula metu saka pamblokiran panulis.
Nanging dina iki aku ketemu disebut ReVoLTE kanggo protokol sing aku bungah banget babagan hacking, yaiku jaringan seluler (swara liwat) protokol LTE. Aku bungah babagan protokol tartamtu-lan serangan anyar iki-amarga arang banget ndeleng protokol lan implementasi jaringan seluler sing disusupi. Utamane amarga standar kasebut dikembangake ing kamar sing diisi kumelun lan didokumentasikan ing dokumen 12000 halaman sing ora saben peneliti bisa ditangani. Kajaba iku, ngleksanakake serangan kasebut meksa peneliti nggunakake protokol radio sing kompleks.
Mangkono, kerentanan kriptografi sing serius bisa nyebar ing saindenging jagad, mbok menawa mung bisa dimanfaatake dening pamrentah, sadurunge ana peneliti. Nanging saka wektu kanggo wektu ana pangecualian, lan serangan dina iku salah siji saka wong-wong mau.
penulis Kontributor: David Rupprecht, Katharina Kohls, Thorsten Holz lan Christina PΓΆpper saka Ruhr-University Bochum lan Universitas New York Abu Dhabi. Iki minangka serangan sing apik kanggo nginstal maneh kunci ing protokol swara sing mbokmenawa wis digunakake (yen sampeyan saka generasi lawas sing isih nggawe telpon nggunakake ponsel).
Kanggo miwiti, dolan sajarah singkat.
Apa LTE lan VoLTE?
Basis standar telpon seluler modern kita dilebokake ing Eropa ing taun 80-an kanthi standar kasebut (Sistem Global Komunikasi Seluler). GSM minangka standar telephony seluler digital utama pisanan, sing ngenalake sawetara fitur revolusioner, kayata panggunaan kanggo nglindhungi telpon. GSM awal dirancang utamane kanggo komunikasi swara, sanajan dhuwit bisa uga .
Nalika transmisi data dadi luwih penting ing komunikasi seluler, standar Long Term Evolution (LTE) dikembangake kanggo nyepetake jinis komunikasi iki. LTE adhedhasar klompok standar lawas kayata GSM, ΠΈ lan dirancang kanggo nambah kacepetan exchange data. Ana akeh merek lan nanging TL;DR yaiku LTE minangka sistem transmisi data sing dadi jembatan antarane protokol data paket lawas lan teknologi data seluler mangsa ngarep. .
Mesthine, sejarah ngandhani yen yen ana cukup bandwidth (IP) sing kasedhiya, konsep kaya "swara" lan "data" bakal mulai burem. Padha ditrapake kanggo protokol seluler modern. Kanggo nggawe transisi iki luwih lancar, standar LTE nemtokake (VoLTE), yaiku standar IP kanggo nindakake panggilan swara langsung liwat bidang data LTE, ngliwati bagean dial-up jaringan seluler kabeh. Minangka standar ,Panggilan VoLTE bisa diakhiri dening operator seluler lan disambungake menyang jaringan telpon biasa. Utawa (minangka dadi saya umum) padha langsung saka siji klien seluler menyang liyane, lan malah antarane panyedhiya beda.
Kaya VoIP standar, VoLTE adhedhasar rong protokol basis IP populer: Session Initiation Protocol ( - SIP) kanggo persiyapan telpon, lan protokol transportasi wektu nyata (, sing kudu diarani RTTP nanging sejatine diarani RTP) kanggo ngolah data swara. VoLTE uga nambah sawetara optimasi bandwidth tambahan, kayata kompresi header.
Oke, apa hubungane karo enkripsi?
LTE, kaya , duwe set standar protokol kriptografi kanggo ngenkripsi paket nalika dikirim liwat udhara. Utamane dirancang kanggo nglindhungi data nalika lelungan ing antarane telpon (diarani peralatan pangguna, utawa UE) lan menara sel (utawa ing ngendi wae panyedhiya sampeyan mutusake kanggo mungkasi sambungan kasebut). Iki amarga panyedhiya seluler ndeleng piranti eavesdropping eksternal minangka mungsuh. Inggih, mesthi.
(Nanging, kasunyatan manawa sambungan VoLTE bisa kedadeyan langsung ing antarane klien ing jaringan panyedhiya sing beda tegese protokol VoLTE dhewe duwe sawetara protokol enkripsi tambahan lan opsional sing bisa kedadeyan ing lapisan jaringan sing luwih dhuwur. Iki ora cocog karo artikel saiki, kajaba kasunyatan sing padha bisa ngrusak kabeh (kita bakal ngomong sedhela sabanjure).
Historis, enkripsi ing GSM wis : ala , protokol sing mung telpon diotentikasi menyang menara (tegese penyerang bisa niru menara, ) lan sapanunggalane. LTE mbenerake akeh kewan omo sing jelas nalika njaga struktur sing padha.
Ayo dadi miwiti karo enkripsi dhewe. Kanthi nganggep manawa nggawe kunci wis kedadeyan - lan kita bakal ngomong babagan iki ing sawetara menit - banjur saben paket data dienkripsi nggunakake enkripsi stream nggunakake soko sing diarani "EEA" (sing ing praktik bisa dileksanakake nggunakake barang kaya AES). Ateges, mekanisme enkripsi ing kene kaya ing ngisor iki:
Algoritma enkripsi utama kanggo paket VoLTE (sumber: ). EEA minangka cipher, "COUNT" minangka counter 32-bit, "BEARER" minangka pengenal sesi unik sing misahake sambungan VoLTE saka lalu lintas Internet biasa. "DIRECTION" nuduhake arah lalu lintas mili - saka UE menyang menara utawa kosok balene.
Wiwit algoritma enkripsi dhewe (EEA) bisa diimplementasikake nggunakake cipher sing kuat kaya AES, ora mungkin ana serangan langsung marang cipher kaya iki. . Nanging, cetha yen sanajan nganggo cipher sing kuat, skema enkripsi iki minangka cara sing apik kanggo njupuk dhewe ing sikil.
Utamane: standar LTE nggunakake cipher stream (ora dikonfirmasi) kanthi mode sing bakal banget rentan yen counter - lan input liyane kayata "bearer" lan "direction" - ora digunakake maneh. Ing basa modern, istilah kanggo konsep iki yaiku "serangan ora bisa digunakake maneh," nanging risiko potensial ing kene ora ana sing modern. Padha misuwur lan kuna, wiwit jaman glam metal lan malah disko.
Serangan kanggo nonce reuse ing mode CTR ana sanajan Racun dikenal
Supaya adil, standar LTE ujar, "Aja nganggo maneh meter iki." Nanging standar LTE dawane udakara 7000 kaca, lan ing kasus apa wae, kaya bocah-bocah njaluk supaya ora dolanan bedhil. Padha mesthi bakal, lan iku elek bakal kelakon. Senjata tembak ing kasus iki minangka serangan nggunakake maneh keystream, ing ngendi rong pesen rahasia XOR beda karo bait keystream sing padha. Punika dikenal sing iki .
Apa ReVoLTE?
Serangan ReVoLTE nduduhake manawa, ing praktik, desain enkripsi sing rawan banget iki disalah gunakake dening hardware donya nyata. Khusus, penulis nganalisa panggilan VoLTE nyata sing digawe nggunakake peralatan komersial lan nuduhake manawa bisa nggunakake "serangan reinstallation kunci." (Akeh kredit kanggo nemokake masalah iki menyang (Raza & Lu), sing pisanan nuduhake kerentanan potensial. Nanging riset ReVoLTE dadi serangan praktis).
Ayo kula nuduhake sampeyan sedhela inti saka serangan, sanajan sampeyan kudu katon lan .
Siji bisa nganggep yen LTE nggawe sambungan data paket, tugas voice over LTE dadi mung masalah nuntun paket swara liwat sambungan kasebut bebarengan karo kabeh lalu lintas sampeyan. Ing tembung liyane, VoLTE bakal dadi konsep sing mung ana [Model OSI- kira-kira.]. Iki ora sakabehe bener.
Nyatane, lapisan link LTE ngenalake konsep "pembawa". Bearers minangka pengenal sesi sing misahake macem-macem jinis lalu lintas paket. Lalu lintas internet reguler (Twitter lan Snapchat sampeyan) ngliwati siji pembawa. Sinyal SIP kanggo VoIP liwat liyane, lan paket lalu lintas swara diproses liwat katelu. Aku ora ngerti banget babagan radio LTE lan mekanisme nuntun jaringan, nanging aku yakin wis rampung kanthi cara iki amarga jaringan LTE pengin ngetrapake mekanisme QoS (kualitas layanan) supaya aliran paket sing beda diproses ing tingkat prioritas sing beda: i.e. sampeyan tingkat kapindho Sambungan TCP menyang Facebook bisa uga nduweni prioritas sing luwih murah tinimbang telpon swara wektu nyata.
Iki umume ora dadi masalah, nanging akibate kaya ing ngisor iki. Tombol kanggo enkripsi LTE digawe kanthi kapisah saben "pembawa" anyar diinstal. Sejatine, iki kudu kedadeyan maneh saben sampeyan nelpon telpon anyar. Iki bakal nyebabake kunci enkripsi sing beda digunakake kanggo saben telpon, ngilangi kemungkinan nggunakake maneh tombol sing padha kanggo ndhelik rong set paket telpon swara sing beda. Pancen, standar LTE ujar kaya "sampeyan kudu nggunakake tombol sing beda saben sampeyan nginstal pembawa anyar kanggo nangani telpon anyar." Nanging iki ora ateges sing iki bener kedaden.
Nyatane, ing implementasine nyata-nyata, rong telpon sing beda-beda sing kedadeyan ing jarak temporal sing cedhak bakal nggunakake tombol sing padha - sanajan kasunyatan manawa pamilik anyar kanthi jeneng sing padha dikonfigurasi ing antarane. Siji-sijine owah-owahan praktis sing kedadeyan ing antarane telpon kasebut yaiku counter enkripsi direset menyang nol. Ing sastra iki kadhangkala disebut . Siji bisa mbantah manawa iki sejatine minangka kesalahan implementasine, sanajan ing kasus iki, risiko kasebut umume asale saka standar kasebut.
Ing laku, serangan iki nyebabake nggunakake maneh stream tombol, ing ngendi panyerang bisa entuk paket sing dienkripsi $inline$C_1 = M_1 oplus KS$inline$ lan $inline$C_2 = M_2 oplus KS$inline$, ngidini pitungan $inline$ C_1 oplus C_2 = M_1 oplus M_2$inline$. Luwih apik, yen penyerang ngerti salah siji saka $inline$M_1$inline$ utawa $inline$M_2$inline$, mula dheweke bisa langsung mbalekake liyane. Iki menehi insentif sing kuat temokake salah siji saka rong komponen sing ora dienkripsi.
Iki nggawa kita menyang skenario serangan sing lengkap lan paling efektif. Coba panyerang sing bisa nyegat lalu lintas radio antarane telpon target lan menara sel, lan sing piye wae nemu cukup Bejo kanggo ngrekam rong telpon beda, karo kaloro kedadean langsung sawise pisanan. Saiki mbayangno manawa dheweke bisa ngira konten sing ora dienkripsi ing salah sawijining telpon. Kanthi kuwi serendipity penyerang kita bisa kanthi decrypt telpon pisanan nggunakake XOR prasaja antarane rong set paket.
Mesthi, luck ora ana hubungane. Wiwit telpon dirancang kanggo nampa telpon, panyerang sing bisa krungu telpon pisanan bakal bisa miwiti telpon kaloro ing wektu sing tepat sing pisanan rampung. Telpon kapindho iki, yen kunci enkripsi sing padha digunakake maneh kanthi counter reset menyang nol, bakal ngidini data sing ora dienkripsi bisa dibalekake. Kajaba iku, amarga panyerang kita bener-bener ngontrol data sajrone telpon kaping pindho, dheweke bisa mbalekake isi telpon pertama - amarga akeh sing dileksanakake khusus. barang cilik, muter ing sisih.
Punika gambar saka rencana serangan umum dijupuk saka :
Ringkesan serangan saka . Skema iki nganggep yen rong telpon beda digawe nggunakake tombol sing padha. Penyerang ngontrol sniffer pasif (kiwa ndhuwur), uga telpon kapindho, sing bisa nelpon nomer loro menyang telpon korban.
Dadi, apa serangan kasebut bisa ditindakake?
Ing tangan siji, iki pancen dadi pitakonan utama kanggo artikel babagan ReVoLTE. Kabeh gagasan ing ndhuwur apik ing teori, nanging ninggalake akeh pitakonan. Kayata:
- Apa bisa (kanggo peneliti akademik) bener nyegat sambungan VoLTE?
- Apa sistem LTE nyata bener rekey?
- Apa sampeyan bisa miwiti telpon kaping pindho kanthi cepet lan bisa dipercaya supaya telpon lan menara bisa nggunakake maneh tombol kasebut?
- Sanajan sistem rekey, sampeyan bisa ngerti konten sing ora dienkripsi ing telpon kaping pindho - amarga kaya codec lan transcoding bisa ngganti isi (bit-by-bit) saka telpon kapindho kasebut, sanajan sampeyan duwe akses menyang "bit " teka saka telpon serangan sampeyan?
Karya ReVoLTE mangsuli sawetara pitakonan kasebut kanthi bener. Penulis nggunakake piranti lunak komersial-reconfigurable stream radio sniffer disebut kanggo nyegat telpon VoLTE saka sisih downlink. (Aku mung ngerti babagan piranti lunak lan entuk gagasan kasar babagan cara kerjane njupuk pirang-pirang wulan saka urip siswa lulusan miskin - sing khas kanggo riset akademik iki).
Peneliti nemokake yen kanggo nggunakake maneh tombol bisa digunakake, telpon kapindho kudu kelakon cukup cepet sawise pisanan rampung, nanging ora cepet banget-kira-kira sepuluh detik kanggo operator padha experimented karo. Begjanipun, iku ora Matter apa pangguna njawab telpon ing wektu iki - "ring" ie. Sambungan SIP dhewe meksa operator nggunakake maneh tombol sing padha.
Mangkono, akeh masalah lousiest revolve watara masalah (4) - nampa bit saka isi unencrypted telpon miwiti dening panyerang. Iki amarga akeh sing bisa kedadeyan ing konten sampeyan nalika lelungan saka telpon panyerang menyang telpon korban liwat jaringan seluler. Contone, trik kotor kayata ngodhe maneh stream audio sing dienkode, sing ninggalake swara sing padha, nanging ngganti perwakilan binar kanthi lengkap. Jaringan LTE uga nggunakake kompresi header RTP, sing bisa ngganti akeh paket RTP.
Pungkasan, paket sing dikirim dening panyerang kudu kira-kira selaras karo paket sing dikirim nalika telpon pisanan. Iki bisa dadi masalah amarga ngowahi kasepen nalika nelpon nyebabake pesen sing luwih cendhek (alias gangguan swara) sing bisa uga ora cocog karo telpon asli.
Iku worth maca ing rinci. Iki ngatasi akeh masalah ing ndhuwur - utamane, penulis nemokake manawa sawetara codec ora dikode maneh, lan kira-kira 89% perwakilan binar telpon target bisa dibalekake. Iki bener kanggo paling ora rong operator Eropa sing diuji.
Iki minangka tingkat sukses sing nggumunake, lan terus terang luwih dhuwur tinimbang sing dakkarepake nalika miwiti nggarap dokumen iki.
Dadi apa sing bisa ditindakake kanggo ndandani?
Wangsulan langsung kanggo pitakonan iki gampang banget: amarga inti saka kerentanan yaiku serangan nggunakake maneh (instalasi maneh), mung ndandani masalah kasebut. Priksa manawa tombol anyar dijupuk kanggo saben telpon, lan ora ngidini counter paket ngreset counter bali menyang nul nggunakake tombol padha. Masalah ditanggulangi!
Utawa mbok menawa ora. Iki mbutuhake nganyarke akeh peralatan, lan, terus terang, fix kasebut dhewe ora bisa dipercaya. Luwih becik yen standar bisa nemokake cara sing luwih aman kanggo ngleksanakake mode enkripsi sing ora kanthi gawan rawan bencana kanggo masalah panggunaan maneh tombol kasebut.
Salah siji opsi bisa digunakake . Iki bisa uga larang banget kanggo sawetara perangkat keras saiki, nanging mesthine kudu dipikirake para desainer wilayah ing mangsa ngarep, utamane amarga standar 5G bakal njupuk alih jagad iki.
Panaliten anyar iki uga nuwuhake pitakon umum kenapa , akeh sing nggunakake desain lan protokol sing padha. Yen sampeyan lagi ngadhepi masalah nginstal maneh tombol sing padha ing pirang-pirang protokol sing akeh digunakake kaya WPA2, apa sampeyan ora mikir yen wis wektune kanggo nggawe spesifikasi lan prosedur uji coba luwih mantep? Mungkasi nganggep pelaksana standar minangka mitra sing wicaksana sing nggatekake bebaya sampeyan. Dianggep kaya mungsuh (ora disengaja) sing mesthi bakal salah.
Utawa, minangka alternatif, kita bisa nindakake apa sing ditindakake dening perusahaan kaya Facebook lan Apple: nggawe enkripsi telpon swara ing tingkat tumpukan jaringan OSI sing luwih dhuwur, tanpa ngandelake manufaktur peralatan seluler. Kita malah bisa nyurung enkripsi end-to-end telpon swara, kaya sing ditindakake WhatsApp karo Signal lan FaceTime, kanthi nganggep manawa pamrentah AS mandheg. . Banjur (kajaba sawetara metadata) akeh masalah kasebut bakal ilang. Solusi iki utamanΓ© cocog ing donya ngendi .
Utawa kita mung bisa nindakake apa sing wis ditindakake bocah-bocah: mungkasi njawab telpon swara sing ngganggu.
Source: www.habr.com