307
4G VoLTE存在漏洞可導致手機用戶地理位置和其它個人信息泄露
近年來,4G VoLTE在全球移動通訊領域正逐漸普及流行,目前已經成為大多數歐美地區和亞洲國家的發展趨勢。而最近,法國安全公司 P1 security通過報告方式詳細羅列了一長串關於4G VoLTE通話技術的安全問題。報告闡述了可以利用VoLTE協議漏洞對用戶進行遠程攻擊,並能成功實現手機號碼欺騙、手機用戶地理位置定位以及IMEI信息獲取等。
VoLTE簡介
VoLTE即Voice over LTE,它是一種新興的IP數據傳輸技術,無需2G/3G網,全部業務承載於4G網絡上,可實現數據與語音業務在同一網絡下的統一。換言之,4G網絡下不僅僅提供高速率的數據業務,同時還提供高質量的音視頻通話,後者便需要VoLTE技術來實現。VoLTE是架構在4G網絡上全IP條件下的端到端音視頻語音方案,其用戶體驗明顯優於傳統語音。自2013年以來,我國國內各大運營商便紛紛試運行VoLTE業務,各運營商之間業務範圍基本已實現全國覆蓋,VoLTE技術在未來將成為通話領域的發展趨勢。
簡單來說,VoLTE可以算是LTE、GSM和VoIP的混合,是一種互聯網語音通信技術,該技術協議最早於2012年在韓國和新加坡首先推出試行,由於其融合了傳統穩定的電路交換協議和現代高質高速的IP通信協議,後來,隨著其不斷的發展完善,逐漸就在各國普及流行開來。
P1 security的研究發現
VoLTE算得上一種全球通用的通話協議,且在世界各國都有相應的運營商在部署使用。出於安全目的, P1 security的技術專家對VoLTE開展了一係列的安全審計和技術研究,最終,他們發現,在使用Andriod手機接入移動通信網絡的情況下,可以通過VoLTE協議實現對用戶的遠程攻擊入侵和地埋位置跟蹤定位,這是一個非常嚴重的漏洞。
P1 security研究人員表示,他們已經發現兩種漏洞,分別為“主動型”需要修改SIP數據包的漏洞,以及不需要修改SIP數據包,但通過被動網絡監測導致數據泄露的“被動型”漏洞。以下是P1 security團隊研究報告中對VoLTE存在問題的一些總結:
1. 通過SIP邀請信息進行用戶枚舉
當用戶之間的手機通過VoLTE發起會話時,會話發起協議(SIP)的邀請消息便會成為第一種消息在用戶間實現交換。在會話發起人和接收人之間,這些消息會通過所有支持這種會話類型的移動網絡設備。
研究人員聲稱,處於同一移動網絡內的攻擊者可以發送經事先修改過的SIP邀請消息,對移動服務供應商進行暴力猜解,最終能得到該移動網絡內的VoLTE用戶信息。
2. 會話描述協議(SDP)中的數據免費交換
當VoLTE網絡不啟動負責計費的唿叫詳細記錄(CDR)模塊的條件下,該漏洞允許VoLTE用戶間進行數據交換,如通話記錄、短信、移動數據等。
在過去,也有其它研究人員發現了VoLTE網絡中的免費數據交換通道,但這種方法前提需要利用SIP和實時傳輸協議RTP消息實現CDR繞過。
而P1 security團隊發現,在VoLTE網絡中,攻擊者可以利用SIP和SDP消息創建一種不能監控發現的數據交換通道。對合法監聽(監視)來說,這是一個問題,因為這種方法可能會被犯罪嫌疑人利用,創建隱蔽數據通信通道進行違法通信,形成監控空白。
3. 利用SIP邀請消息進行用戶身份欺騙
攻擊者通過在SIP邀請消息中修改某些頭標記,以此偽造成其它用戶手機號碼進行通話。一般來說,隻要通話發起人發起的SIP邀請消息格式正確,移動網絡基礎設施不會對其進行驗證,尤其是通話發起人身份。
P1 security研究人員警告稱,這將是一個嚴重的問題,可能導致攻擊者入侵其它用戶的語音信箱,或犯罪份子以此製造號碼偽裝,對執法部門監控行為造成幹擾。
雖然有些場景在報告中沒有提及,但可以想像,比如一些詐騙者通過這種方法冒充合法公司聯係電話,對客戶進行密碼和PINs等其它敏感信息進行電話詐騙。
4. 對VoLTE通信設備指紋和拓撲進行發現
攻擊者利用Android智能手機接入VoLTE網絡後,通過監測流經手機的VoLTE通話流量,就可識別出移動服務運營商使用的VoLTE基礎設備的網絡指紋信息。根據P1 security研究團隊報告,這些移動運營商非常詳細的網絡設置數據,當手機接入移動網絡之後,可以在手機接收到名為“200 OK”的消息流量中發現。
研究人員建議移動運營商需要對 “200 OK”消息頭進行審查,把其中涉及到VoLTE通信的設備信息刪除,防止攻擊者發現和繪製通信網設備拓撲,避免攻擊者對移動運營商發起或實施其它精心構造的深度攻擊。
5. 泄露通話接收者的IMEI信息
研究人員通過監測發起VoLTE通話的Android智能手機流量後發現,在用戶間建立通話連接之前,會進行一些中介性消息的交換,這些消息可以泄露通話接收者的IMEI信息。
IMEI:國際移動設備身份碼,由15位數字組成的”電子串號”,它與每台移動電話機一一對應,是手機設備的唯一辨識碼,與計算機的MAC類似。
這些中介性消息是名為”183 Session Progress” 的SIP消息,下圖顯示了通話建立之前,它們在VoLTE網絡中進行正常連接時的位置:
研究人員稱,由於這種攻擊不需雙方建立通話連接,所以攻擊者可以在撥打電話過程中一旦收集獲取到對方IMEI信息後,就可以立即掛斷電話。
6. 泄露通話用戶包括地理位置在內的更多個人信息
與上述攻擊類似,研究人員還發現,相同的”183 Session Progress” SIP消息也可以泄漏關於受害者的更詳細的信息。
這種信息存儲在”183 Session Progress” SIP消息頭的另一部分區塊中,包含了受害者的通用移動通信係統地麵無線接入網基站位置標識符(UTRAN CELLID)的詳細信息,該標識符是用戶手機設備天線接入移動網絡的唯一標識,其中CELLID為用戶手機附近移動基站的位置編號,結合經緯度等其它信息,可以對手機用戶進行精確的地理位置定位。
換句話說,攻擊者可以用此方法對受害者發起“幽靈唿叫”,檢測受害者的大致位置,並在建立電話通話之前掛斷電話。下圖為UTRAN CELLID格式:
總結
對於後兩種攻擊,研究小組建議,移動運營商應該在通信頂端架構對183會話的SIP消息頭進行弱化或安全審查,隻讓它們在一些必要的VoLTE通話支持基礎設施中出現,而不應該通過終端用戶手機。而另據媒體報道,2015年被發現的VoLTE語音信箱漏洞到現在也還沒被修複。悲慘的手機和懶惰的移動服務運營商,誰來背VoLTE漏洞這個鍋?
更多關於VoLTE漏洞的信息,請查看P1 security團隊報告《在Anriod手機上利用4G VoLTE進行用戶遠程定位和跟蹤》,該報告於6月初在一年一度的法國雷恩信息技術和通信安全研討會上被公布。
本文作者:clouds
來源:51CTO
最後更新:2017-11-03 17:04:21