Атака ReVoLTE, позволяющая перехватить зашифрованные звонки в LTE

Группа исследователей из Рурского университета в Бохуме (Германия) представила технику атаки ReVoLTE (PDF), позволяющую перехватить зашифрованные голосовые звонки в сетях сотовой связи 4G/LTE, использующих для передачи голосового трафика технологию VoLTE (Voice over LTE).

Для защиты телефонных звонков от перехвата в VoLTE для канала между клиентом и оператором применяется шифрование на основе потокового шифра. Спецификация предписывает генерировать для каждого сеанса уникальный ключевой поток, но как было выявлено исследователями 12 из 15 протестированных базовых станций не выполняют данное условие и повторно используют один и тот же поток ключей для двух последовательных вызовов по одному радиоканалу или используют предсказуемые методы генерации новой последовательности.

Повторное использование ключевого потока позволяет атакующему расшифровать записанный зашифрованный трафик с разговором. Для осуществления расшифровки содержимого голосового звонка атакующий вначале перехватывает и сохраняет зашифрованный радиотрафик между жертвой и уязвимой базой станцией. После завершения звонка, атакующий перезванивает жертве и пытается как можно дольше продолжать разговор, не давая жертве положить трубку. Во время этого разговора помимо записи зашифрованного радиотрафика также сохраняется незашифрованный исходный звуковой сигнал.

Для расшифровки первого звонка жертвы атакующий на основании перехваченного при втором звонке шифрованного трафика и исходных голосовых данных, записанных на телефоне атакующего, может вычислить значение ключевого потока, который определяется при помощи операции XOR между открытыми и зашифрованными данными. Так как ключевой поток используется повторно, применив вычисленный для второго звонка ключевой поток к зашифрованным данным первого звонка атакующий может получить доступ к его исходному содержимому. Чем дольше длился второй разговор атакующего с жертвой, тем больше может быть расшифровано информации из первого звонка. Например, если атакующему удалось растянуть разговор на 5 минут, то он сможет и расшифровать 5 минут.

Для захвата зашифрованного трафика в эфире LTE-сетей исследователями применялся анализатор сигнала AirScope, а для получения исходного голосового потока во время звонка атакующего использовались Android-смартфоны, управляемые через ADB и SCAT. Стоимость оборудования, необходимого для проведения атаки оценивается в 7000 долларов.



Производители базовых станций были уведомлены о проблеме в декабре прошлого года и большинство уже опубликовало патчи для устранения уязвимости. Тем не менее, некоторые операторы могли игнорировать обновления. Для проверки подверженности проблеме LTE- и 5G-сетей подготовлено специальное мобильное приложение для платформы Android 9 (для работы требуется root-доступ и смартфон на чипах Qualcomm, такой как Xiaomi Mi A3, One Plus 6T и Xiaomi Mix 3 5G). Кроме определения наличия уязвимости приложение также может применяться для захвата трафика и просмотра служебных сообщений. Захваченный трафик сохраняется в формате PCAP и может быть отправлен на указанный пользователем HTTP-сервер для последующего анализа типовыми инструментами.

13.08.2020
https://www.opennet.ru/opennews/art.shtml?num=53541​