Badacze z Chin i UK wspólnymi siłami łamią zabezpieczenia połączeń VoLTE i w sieciach 5G

Badacze z Chin i Wielkiej Brytanii opracowali atak na sieć telekomunikacyjną, który może ujawnić metadane połączeń podczas rozmów VoLTE/VoNR.

Voice over LTE (VoLTE) to usługa telefonii pakietowej, która jest częścią standardu LTE i jest szeroko stosowana przez głównych dostawców telekomunikacyjnych. Jest ona podobna do Voice over New Radio (VoNR), czyli technologii 5G.

VoLTE/VoNR — lub po prostu VoLTE w celu uniknięcia alfanumerycznych pomyłek — szyfruje dane głosowe przesyłane między telefonem a siecią za pomocą szyfru potokowego. Trzy lata temu wykazano, że jest on podatny na atak z użyciem ponownie użytego klucza. Pozwoliło to badaczom opracować atak ReVoLTE, który ujawnia zaszyfrowane rozmowy LTE. Różne inne eksploracje wykazały, że dane wymieniane między telefonami a wieżami komórkowymi nadal są słabo chronione zarówno w warstwie fizycznej, jak i warstwie danych.

Naukowcy Zishuai Cheng i Baojiang Cui z Pekińskiego Uniwersytetu Pocztowego i Telekomunikacji oraz Mihai Ordean, Flavio Garcia i Dominik Rys z Uniwersytetu w Birmingham znaleźli sposób na uzyskanie dostępu do zaszyfrowanych metadanych połączeń — dzienników aktywności VoLTE, które opisują czas, czas trwania i kierunek (przychodzący lub wychodzący) rozmów w sieci komórkowej.

W pracy zatytułowanej „Watching your call: Breaking VoLTE Privacy in LTE/5G Networks”, opisują oni, jak byli w stanie wykorzystać te metadane do mapowania numerów telefonów — w sposób niewykrywalny — do zanonimizowanych identyfikatorów sieci LTE i 5G-SA.

Operatorzy sieci dają abonentom karty SIM z unikalnym identyfikatorem — określanym jako IMSI (International Mobile Subscriber Identity) w przypadku 4G i SUPI (Subscription Permanent Identifier) w przypadku 5G. Kiedy abonenci łączą się z siecią, przypisywane są im tymczasowe identyfikatory — zwane Temporary Mobile Subscriber Identity (TMSI) w systemach 3G i Globally Unique Temporary Identity (GUTI) w systemach 4G i 5G. Standard 5G obsługuje również ukryty identyfikator subskrypcji (SUCI) jako sposób na udaremnienie łapaczy IMSI — fałszywych wież komórkowych wykorzystywanych do inwigilacji użytkowników telefonów komórkowych.

Wszystkie te systemy — TMSI, GUTI i SUCI — mają na celu anonimizację użytkowników w sieci, tak aby każdy, kto przechwyci dane o połączeniach, nie był w stanie powiązać ich z konkretną kartą SIM lub abonentem. Po początkowej fazie połączenia, parametry konfiguracyjne warstwy fizycznej są wymieniane za pomocą zaszyfrowanych wiadomości, więc każdy atakujący musi stale zgadywać te parametry warstwy fizycznej, aby utrzymać połączenie.

Ale te zabezpieczenia okazują się niewystarczające ze względu na statyczną naturę niektórych parametrów sieciowych (takich jak cqi-FormatIndicatorPeriodic), która pomaga atakującemu wnioskować o interakcji sieciowej. Chociaż komunikatów sieciowych nie można odczytać bezpośrednio ze względu na szyfrowanie, o niektórych można wnioskować na podstawie ich długości i pozycji w protokole.

Technika wymaga przechwycenia dużej ilości ruchu sieciowego – 60 godzin danych na jednego operatora. Badacze byli jednak w stanie to zrobić, projektując mobilny węzeł zwrotny adwersarza — atak typu miscreant-in-the-middle (MITM) podobny do IMSI catcher — który opiera się na dwóch niezależnych połączeniach radiowych warstwy fizycznej (USRP B210 SDR), które wymieniają wiadomości z telefonem ofiary i ze stacją bazową sieci.

Badacze zauważają, że ruch VoLTE powinien być chroniony przed tego typu analizą, a ostatecznie nie jest.

Cooper Quintin, technolog w Electronic Frontier Foundation, powiedział, że chociaż ten atak wygląda bardziej egzotycznie niż inne techniki, które mogą być stosowane z IMSI catchers, to jest to również przypomnienie, że 5G nie jest idealnym rozwiązaniem na problemy zabezpieczeń, z którymi borykają się operatorzy telekomów i że samo wprowadzenie komunikacji 5G nie spowoduje nagle, że cyberprzestępcy zostaną wyeliminowani.