Все больше операторов по всему миру развертывают мобильные сети следующего поколения, или LTE, а пользователи оценивают мобильные услуги нового поколения, способствуя скорому внедрению LTE в масштабах всего мира. До недавнего времени считалось, что миграция с 3G на LTE повышает устойчивость телефона к атакам, но группа исследователей намерена продемонстрировать первую практическую атаку на LTE на T2 Security Conference 2015 и Black Hat Europe 2015.

Каждое поколение мобильной связи предполагало повышение безопасности — например, в 3G был впервые реализован принцип взаимной аутентификации, что позволяло избежать атак, связанных с использованием «фальшивых» базовых станций (БС). В следующем поколении — 4G — безопасность была усилена еще больше за счет аутентификации и защиты ряда сигнальных протоколов.

Команда исследователей — Равишанкар Борганкар (Ravishankar Borgankar), Альтаф Шаик (Altaf Shaik), Вальттери Ниеми (Valtteri Niemi) и Жан-Пьер Сайфер (Jean-Pierre Seifert) — провела лабораторные тестирования ряда LTE-устройств и обнаружила два класса уязвимостей, применимых к протоколу LTE в целом. О них эксперты доложили вендорам и стандартизирующим органам. Ряд производителей уже разработали патчи, а 3GPP собирается внедрить ряд изменений в существующие спецификации LTE.

Во-первых, оказалось, что LTE-сети выдают информацию о местоположении абонента, хотя даже во времена 2G приватность пользователя была в приоритете. Когда устройство подключается к сети, ему присваивается временный идентификатор (TMSI — Temporary Mobile Subscriber Identity). При обмене сигналами между сетью и устройством учитывается только TMSI, а не IMSI (International Mobile Subscriber Identity) или телефонный номер абонента. Таким образом, потенциальному атакующему будет труднее отследить конкретного пользователя, так как TMSI постоянно меняется при переподключении телефона к новой БС.

Несколько лет назад корейские исследователи смогли отследить пользователя в сети 2G путем запросов page request — отправления пустых сообщений или совершения коротких звонков на номер абонента, но такая атака была малоосуществима в реальных условиях.

Теперь же исследователи обнаружили подобный метод отсылки запросов через мессенджеры соцсетей. Например, если пользователь Facebook вне списка друзей конкретного человека посылает ему сообщение, Facebook помещает сообщение в папку «Другие», дабы защитить пользователя от спама. Если на LTE-смартфоне установлен мессенджер Facebook, то потенциальный злоумышленник имеет возможность связать идентификатор TMSI с профилем в соцсети через запрос page request.

Несмотря на «временную» природу идентификатора, TSMI  меняется не так часто — например, в городах с большой плотностью населения идентификатор оставался неизменным до трех дней, и для многих хакеров этого будет более чем достаточно, особенно если они используют «подставные» БС.

Протоколы доступа в сетях LTE используют некоторые алгоритмы отчетности, абсолютно необходимые для функционирования LTE, — например, для обеспечения устранения неисправностей при подключении к сети и переподключении абонента между сетями. Если атакующий получит доступ к одному из таких отчетов, которыми устройство обменивается с сетью, то потенциально сможет выявить местоположение смартфона — в некоторых случаях с точностью GPS-координат.

Во-вторых, эксперты обнаружили возможность проведения DDoS-атак по LTE. Например, в ситуации, когда абонент находится в роуминговой зоне, а тарифный план не позволяет пользоваться услугами в роуминге, при попытке подключения к сети смартфон получит сообщение вроде «ROAMING NOT ALLOWED». После этого следующий запрос к сети произойдет при перезагрузке устройства. Этот механизм разработан для того, чтобы сократить количество обращений к сети и сэкономить расход батареи. Таким образом, данная особенность LTE позволяет атакующему обеспечить «отказ в обслуживании» при подключении к 3G или 4G, вынудив устройство подключиться к менее защищенным сетям 2G, открытым для уже известных атак.

Оборудование, необходимое для осуществления этих атак, состоит из платы USRP и нескольких антенн, снабженных открытым ПО openLTE. Весь пакет обойдется хакеру всего в тысячу евро.

Пока исследователи не могут представить, как можно оперативно закрыть уязвимости в таком протоколе, как LTE. Обнаруженные ими бреши, скорее всего, являются следствием необходимых компромиссов, лежащих в основе самой концепции 4G. Многие из принципов сегодняшнего стандарта LTE были заложены еще в начале 2000-х, когда о таких атаках никто не мог помыслить. Как считают эксперты, только пересмотр принципов сигнальных протоколов, а также программируемые сети (SDN) помогут решить проблему.

Категории: Главное, Уязвимости