原文首发于公号“ 支付宝安全实验室” (https://mp.weixin.qq.com/s/lLrKx5VvSlnvyQDwK6TPug)

1分钟摘要

德国波鸿鲁尔大学的研究人员在NDSS2020会议发表了一篇论文,提出了一种新的IMP4GT攻击方法,这是是一种4GLTE网络的中间人攻击方法。该方法利用的是LTE网络中PDCP层缺少完整性保护,以及ICMP协议的几种特殊报文。攻击者可实现:

1、冒充受害手机的IP地址,连接运营商内网的网络节点,可产生恶意费用或者扰乱运营商IP追踪。
2、从外网绕过运营商的防火墙,触达处于内网的手机。

支付宝天宸安全实验室对该协议漏洞的修复进展保持关注。在3月20日结束的3GPPRAN全会上,对是否修复这个问题,没有达成共识,风险仍长期存在。

背景

今年2月的NDSS会议有很多新的研究成果公布,其中引发热议的一个是浙大任奎老师团队做的利用手机加速度传感器窃听手机通话的声音。还有一个较为低调的论文,来自德国波鸿鲁尔大学,名为‘IMP4GT’漏洞(https://imp4gt-attacks.net) ,是一种4GLTE网络的中间人攻击利用方法。

该漏洞同时被收录到GSMACVD漏洞平台[1],编号CVD#0030,从2017年到现在该平台总共收录了30个漏洞,平均每年10个。

这个研究小组,4个人,在2018年发现的‘aLTEr’攻击(https://alter-attack.net/) ,当时引起了很大的轰动。’IMP4GT’其实是‘aLTEr’的一个升级版。这两种中间人攻击方法,都是使用伪基站+伪终端,目标受害手机接入到伪基站,伪终端接入到运营商网络。基于开源项目srsLTE(https://www.srslte.com/)。

技术细节

IMP4GT和aLTEr漏洞的根源都是因为LTE协议的PDCP层没有完整性保护。

PDCP层紧挨着IP层。PDCP层的职责有,对IP数据包头做压缩(可做可不做),对IP数据包做加解密,和完整性保护。PDCP层的控制面(右边RRC下面那部分)是有完整性保护的,而数据面(User Plane,左边那部分)没有完整性保护,所以数据是可以篡改的,它的变化就直接导致IP包里的数据的变化。

注意PDCP层虽然没有完整性保护,但是有加密。PDCP层的加密是bit by bit的流加密算法[3]。

aLTEr攻击的方法是,篡改DNS请求的数据包,使被害者可以被重定向到一个错误的IP地址去。因为PDCP层数据是加密的,所以篡改DNS请求和应答需要“猜”,猜中哪个包是DNS包,然后准确的篡改,加一个MASK序列上去就可以改变手机或者网络侧对这个数据包的解密的结果。

IMP4GT攻击更进一步,它获得了PDCP层加密的密钥流KeyStream。思路是这样的:利用ICMP协议的‘destination unreachable’包和‘ping’包的特点,它们在echo的包里都会把原始的payload拷贝一份发回来。中间人就可以利用这份copy跟原始payload对比,获得KeyStream。同时也保证了原始payload在手机侧转了圈,原样回到中间人手里。

以上这张图,是恶意攻击者冒充手机的身份,把数据包发往某个服务器。

从服务器反方向去往手机的TCP数据包,绕了一圈,到达攻击者的手中。最终效果是,攻击者冒充手机的IP地址,建立了一条TCP连接。

标准修复进展

对于4G标准来说,修复这个不现实。安全专家们希望5G的新版本,Release16,能够启用完整性保护。目前5G的Release15版本,对完整性保护是optional的要求,也就是可做可不做。

GSMA向3GPPSA3提过几次,请求5G标准对PDCP层用户面“全面强制”完整性保护。在3月最近的一次SA3#98-e会议上,GSMA向SA3再次请求[2]:‘GSMA politely requests SA/RAN/CT to ask the affected working groups to agree the necessary CRs in the appropriate release to have mandatory support of full-rate user plane integrity protection for all UEs supporting NR connected to the 5GC.’

RAN全会讨论了这个问题,最终未达成共识。对PDCP层数据流做完整性保护,对手机的modem芯片的算力有比较大的负担,特别是当数据速率比较高的时候。因此,大部分芯片厂商和终端厂商反对[4]。

对业务数据安全的影响

IMP4GT攻击没有打破HTTPS的安全性,或者说与HTTPS无关。IMP4GT攻击的数据包都是攻击者构造的,并不是篡改某网站的HTTPS数据包这样的方式。蚂蚁金服基本上全站HTTPS,因此对业务数据安全的影响有限。IMP4GT攻击对IP层之上所有安全性不够好的协议都有威胁。

但是,因为4G5G网络协议和通信基带芯片的更新换代比较慢,而且4G网络协议目前没有修复这个漏洞的计划,所以对于4G网络,这个漏洞将长期存在,攻击者会不断利用这个漏洞尝试各种各样的攻击,风险将长期存在。

【注】2021年,3GPP通过了修改标准的提议,从Release 16开始,‘Support for full rate User Plane integrity protection is mandatory.’ [5]

参考资料

  1. https://www.gsma.com/security/gsma-mobile-security-hall-of-fame/
  2. https://www.3gpp.org/ftp/TSG_SA/WG3_Security/TSGS3_98e/Docs/S3-200430.zip
  3. 3GPPTS33.401Security architecture
  4. https://www.3gpp.org/ftp/TSG_RAN/TSG_RAN/TSGR_87e/Report/
  5. https://www.ericsson.com/en/blog/2021/4/3gpp-release-16-5g-phase-2-security-ran