4G-LTE测试分析

[LTEInspector: A Systematic Approach for Adversarial Testing of 4G LTE]

The Attack Focus On: A-4 Authentication Relay Attack

​ 4G在我们的印象中是一个非常安全的协议,包括即将进入商用阶段的5G协议应该会更加的安全。但是实际情况的并不是如此,普渡大学的几位研究人员发现了4G协议依旧存在着很多的漏洞(已经发现了十个漏洞,其中的七个漏洞已经被验证,一个部分被验证,还有两个等待验证),部分漏洞对5G协议而言依旧是存在的。3GPP曾经讨论过在5G引入证书体系,防止手机连接恶意节点。就是说恶意节点发出的广播消息都要携带签名,手机终端能识别出来哪些是恶意节点,于是就不会尝试连接,连初始连接的第一条消息都不会发出。但是大部分运营商和设备厂商都认为这个方案太”重”了,没有采用,可能6G的时候还会再讨论。

​ 在这次发布的十个漏洞中,有六个漏洞可以归结为拒绝服务攻击(A-1、A-3、P-1、P-2、P-4、P-5),DoS 类攻击,是长期无法解决的问题,即使在5G系统中,仍然有一些不能解决。在这篇研究报告中研究人员为我们介绍了十种4G LTE的漏洞,这些漏洞分别是基于4G LTE三个工作阶段而发现的:连接环节、寻呼环节和分离环节。而在这其中,连接环节无疑是相对复杂与重要的一个环节。

I.LTE预备

​ 在论文中,作者为了方便解释他们的工作成果,将LTE网路架构进行了简化:只关注它有关附着、去附着和寻呼过程的部分。为了更好理解鉴权中继攻击的过程,我们首先学习了作者简化过的 4G LTE,并摘取其中与我们讨论相关的内容:

Part One.LTE网络架构

​ LTE网络大体上由以下三部分组成:蜂窝网络设备(也被称作用户设备或者UE);无线电接入网(E-UTRAN);核心网络(EPC)。

1

UE:UE是装备了用户身份识别卡(SIM卡)的蜂窝网络设备。
SIM卡安全地储存了国际移动用户识别码(IMSI),还有用于UE和EPC通信初始化时注册和鉴权的密钥。
UE本身也有唯一的设备身份:国际移动设备识别码(IMEI),它也用来注册。暴漏 IMSI/IMEI后,UE有可能被非法追踪或假冒,所以说它们是非常敏感的信息。
EPC:EPC 中有两个与我们讨论内容相关的实体:MME 和 HSS。

⑴ Mobility Management Entity: MME 管理一个跟踪区(它由一组六边形的小区构成)中的UE的附着(包括鉴权和密钥协商),寻呼和去附着过程。它还负责记录其跟踪区中UE的位置,方便寻呼过程。

⑵ Home Subscriber Server:HSS 储存各 UE 的 IMSI/IMEI、用户信息(如 QoS 文件)和主密钥。它会用UE的主密钥产生鉴权挑战和对称会话密钥。

Part Two.附着过程

​ 当一个UE想要连接EPC时(比如说在它重启之后),它首先搜索附近 eNB 广播的系统信息块 (SIB) 之后,UE 会和收到的信号功率最高的 eNB 建立连接。在后文我们会讲到,这一特点能被鉴权中继攻击利用。一旦 UE 与 eNB 建立好连接,附着过程就可以根据以下步骤进行:

2

A.注册:附着过程的第一步,是 UE 通过 eNB 向 MME 发送 attach_request 。attach_request 中用明文包含了 UE 的身份(IMSI/IMEI)和它的安全能力(比如它支持的密码算法套件)。

B.鉴权:MME 在收到 UE 的注册请求后,向用户的 HSS 发送其 IMSI,请求对该用户身份进行认证,HSS会给MME回复 authentication_challenge。之后,MME给UE发送包含 authentication_challenge 的 authentication_request。
UE在收到鉴权请求后,用它的主密钥来解 authentication_challenge,并回复authentication\response 给 MME。只有鉴权过程成功了,UE 和 MME 才能进入能下一阶段。

C.安全算法协商:在注册过程中,UE 发送的 attach_request 包含了它的安全能力,于是 MME 能够挑选一对 UE 支持的加密算法和完整性保护算法。首先,MME 发送完整性保护的 security_mode_command 给 UE,其中重放了之前 UE 发来的安全能力,这是为了让 UE 验证 security_mode_command 中的安全能力是否与其发送的attach_request 中的一致。成功验证包含在 security_mode_command 中的消息认证码(MAC)后,UE 回复经过加密并有完整性保护的 security_mode_complete 给MME。至此,UE 和 MME 成功创建了保护未来通信机密和完整性的共享安全上下文,即共享密钥。

D.安全临时标识符交换:MME 向 UE 发送一条经加密且有完整性保护的attach_accept,其中包含了一个临时标识,即 GUTI(Globally Unique Temporary Identity),用于此后的所有的 UE 与 eNB/MME 之间的通信。其目的是为了减少IMSI/IMEI 泄露的可能。收到这条信息后,UE 回复 attach_complete,结束附着过程。附着完成后,UE 和 eNB 之间也会产生一对共享密钥,给它们之间的通信创建安全上下文。

上面大致介绍了 4G 工作过程中的附着阶段,在这里我们可以对这三个过程做一个总结:第一个环节是连接环节,也就是将用户设备与网络相关联的过程(例如,用户打开手机);第二个环节是寻呼环节,该环节是建立呼叫的一部分,通常用于强制设备重新获取系统信息,并用于紧急警报;最后一个环节是分离环节,用户关闭设备,网络会与设备断开连接的过程(又如,由于信号质量差无法进行网络验证)。

II.鉴权中继攻击

​ 在了解了这十种攻击之后,发现其中的两种攻击最有研究价值:其中的一个攻击是 A-4 鉴权中继攻击,这种手法可以伪造手机在网络中的位置(这个是可以被个人利用的),相当于手机与真实网络中间加了两个中继器,真实网络只知道中继器在哪里,不知道手机在哪里。这样,即使该用户在西安也可以将位置信息变成北京,形成完美的不在场证明;剩下的一种攻击是P-3发送假的灾害警报,例如18年1月份的时候夏威夷有一个虚假导弹袭击的警报,就是基于这种原理实现的。

i.攻击过程描述

实施鉴权中继攻击中,可以分为以下两个步骤:I. 断开受害者设备 $\text{UE}{\text{vic}}$ 与核心网EPC之间的连接;II.攻击者设备 $\text{UE}{\text{adv}}$ 伪装成受害者设备 $UE_{\text{vic}}$ 接入到核心网EPC中。

为了断开受害者设备 $\text{UE}_{\text{vic}}$ 与核心网 EPC 之间的连接,可以利用研究人发现的其他漏洞来达成这一目标。例如 D-1 降级攻击就可以完成此步骤,在假设中攻击者知道了受害者设备的 IMSI,所以为了能够精准的攻击,攻击者会通过恶意的 eNodeB广播发送 identity_request,UE 实体收到此条消息后,会向 eNodeB 回复包含自己的 IMSI 的 identity_response。此时,如果受害者刚好在其中的话,那么攻击者就可以向该受害者设备 $\text{UE}_{\text{vic}}$ 发送 detach_request,至此完成了中继攻击的第一个步骤。

受害者设备 $\text{UE}{\text{vic}}$ 这时会尝试着与信号最强的 eNodeB 建立连接—此时的信号最强的 eNodeB 是 ${eN\text{ode}B}{\text{adv}}$,受害者终端 $E_{\text{vic}}$ 会向 ${eN\text{ode}B}_{\text{adv}}$ 发送附着请求(attach_request) 的消息 $m_{\text{re}}$,接着 ${eN\text{ode}B}{\text{adv}}$ 会将此附着请求消息 $m{\text{re}}$ 转发给攻击者设备 $\text{UE}{\text{adv}}$,由 $\text{UE}{\text{adv}}$ 将 $m_{\text{re}}$ 向正常节点 ${eN\text{ode}B}{\text{ben}\text{gin}}$ 转发。当合法的 MME 收到连接请求 $m{\text{re}}$后,就会通过正常节点 ${eN\text{ode}B}{\text{ben}\text{gin}}$ 向攻击者设备发送认证挑战 c。当然,攻击者设备是没有能力去解决这个认证挑战,它会通过恶意的节点${eN\text{ode}B}{\text{adv}}$ 将此认证挑战 c 转发给受害者设备 $\text{UE}{\text{vic}}$。受害者设备 $\text{UE}{\text{vic}}$ 收到认证挑战 c 后,它并没有意识到整个过程中发生了什么,它以为这是一个正常的节点发送过来的挑战 c,因此它会将挑战 c 解开,将结果 r 发送给恶意的节点 ${eN\text{ode}B}{\text{adv}}$,和刚开始的附着请求的消息过程一致,恶意的节点 ${eN\text{ode}B}{\text{adv}}$会将结果 r 转发给恶意设备 $\text{UE}{\text{adv}}$,由恶意设备$\text{UE}{\text{adv}}$将结果 r 提交给节点 ${eN\text{ode}B}_{\text{ben}\text{gin}}$,由该节点将结果r发送给 MME。对于附着过程中的剩下步骤,使用和上面请求认证和验证挑战两步一样的原理,攻击者设备就可以冒充并使用另一方的身份接上网络。

ii.攻击原理

鉴权中继攻击,只能伪造手机的位置,手机的完整性保护和加密保护仍然是没有攻破的,中继器不能解出手机发送的数据内容(除非运行商公然忽视了安全标准的推荐,选择在连接建立阶段使用若安全性或者是无安全性文本传输)。在中继攻击中,破坏的是信息传输的认证性,因为在正常设备和正常节点的信息通路中,加入了一个恶意节点和恶意设备,正常设备不知道自己收到的信息是恶意节点转发的,同理,正常节点也不知道自己收到的信息是恶意设备转发正常设备的。

iii.攻击可能带来的影响

在研究人员的论文中,他们还提到了鉴权中继攻击会带来的影响。因为恶意设备和节点会将受害者设备的一切发送与接受的信息进行转发,所以攻击者可以对受害者发动拒绝服务攻击(例如,将受害者的文件传输、电话等信息不进行转发,因此受害者此部分的服务因此就不能实现了)。同样地,

攻击者可以根据转发的数据大致的勾勒出受害者使用的习惯、模式等隐私信息。最重要的是,这种方法可以伪造手机在网络中的位置。因为攻击者设备$\text{UE}{\text{adv}}$无需和受害者设备$\text{UE}{\text{vic}}$在同一片追踪区域,因此$\text{UE}{\text{adv}}$可以从另外的区域向核心网 EPC鉴定自己,由此受害者设备$\text{UE}{\text{vic}}$的位置信息历史也会受到误导(在核心网EPC那边来看,真正连入的设备只有$\text{UE}{\text{vic}}$,会存储有关的信息,例如:$\text{UE}{\text{vic}}$的 IMSI、IMEI 等信息,而$\text{UE}{\text{adv}}$发送的位置信息因此也会被误认为是$\text{UE}{\text{vic}}$的位置信息)。

III.其他攻击

在鉴权中继攻击中,第一步需要实施的工作是将受害者设备$\text{UE}_{\text{vic}}$与核心网核心网EPC断开连接,论文中,研究人员给我们介绍了三种攻击可以作为鉴权中继攻击的前奏。

i.A-3 麻木攻击

麻木攻击可使攻击者注入乱序控制层协议消息,中断受害用户手机服务,只有重启手机才能恢复。该攻击可与其他攻击联合使用,让攻击者能够冒充受害者行骗。从攻击的性质上来说,麻木攻击是一种拒绝服务攻击。

根据协议标准,网间传递的消息 auth_reject 不受加密保护,因此一旦受害设备UE连接到恶意节点 eNodeB,恶意节点就可以向受害设备注入拒绝验证消息auth_reject。受害设备 UE 一接收到 auth_reject 消息后,它首先会将自己从网络中去附着,完全关闭所有蜂窝活动,甚至不尝试降级或者连接到 3G / 2G 网络。 这种情况下,即使重新插入 SIM 卡也不允许受害者 UE 重新与核心网 EPC 连接。而为了能够重新接入网络,受害者必须将他的设备 UE 重新启动方可。

ii.P-2 隐身开启攻击

在劫持受害者 UE 寻呼信道后,恶意节点可以创建一条寻呼信息,其中一条寻呼记录由受害者 UE 的 IMSI 组成,寻呼记录的其他字段设置为与原始寻呼信息类似。接收到带有 IMSI 的寻呼信息后,受害者 UE 发现它自己的 IMSI 在第一个寻呼记录中。所以,它会将自己从核心分组网中断开,然后发送请求附着的消息。这种攻击会使得受害手机断开与 EPC 的连接,所以可以将这种攻击作为鉴权中继攻击的前奏之一。

iii.D-1 去附着/降级攻击

降级攻击的过程和麻木攻击的过程是十分类似的,攻击者可以在网络中向某一受害者 UE 注入消息 detach_request,可以强制该受害者 UE 从网络中断开。

此外,为了实施这种攻击,需要知道受害者 UE 的 IMSI。因此,研究人员在报告中说到,可以先通过恶意节点 eNodeB 广播消息 identity_request,

UE 收到后会回复包含自身 IMSI 的消息 identity_response 给恶意节点,攻击者就可以得到 UE 的 IMSI。

IV.参考论文与链接

[1] Syed Rafiul Hussain,Omar Ch-wdhury,Shagufta Mehnaz, Elisa Ber-Tino,” LTEInspector: A Systematic Approach for Adversarial Testing of 4G LTE”,Feb .2018

[2] “对LTE Inspector论文的一些解读”,https://unicorn.360.com/blog/2018/03/09/Interpretation_of_LTE_Inspector_Papers

[3] “研究人员发现4G LTE网络协议漏洞”, https://www.freebuf.com/news/164109.html

[4] “从追踪到劫持 研究人员发现十个 4G LTE 漏洞”, https://www.aqniu.com/hack-geek/31968.html