白帽故事 · 2024年6月28日 0

攻破5G堡垒:窥探5G的脆弱深渊

前言

在拉斯维加斯即将举行的 2024 年Blackhat大会上,由七位宾夕法尼亚州立大学研究人员组成的团队将讲述黑客如何在嗅探网络流量的基础上,为受害者提供网络连接,从而间谍活动、网络钓鱼以及更多其它活动都将成为可能。

Blackhat USA 2024 议题简介:

5G技术的出现有望彻底改变移动通信格局,提供更快的速度和更安全的连接。然而,这一技术飞跃也带来了许多安全挑战,尤其是在手机的5G基带中。我们的研究引入了5GBaseChecker,这是第一个动态安全测试框架,旨在发现逻辑漏洞,例如5G基带协议实现中的身份验证绕过。通过设计新的自动机学习和差异测试技术,5GBaseChecker不仅可以识别零日漏洞,还可以促进对商用5G基带中的安全漏洞进行系统性的根本原因分析。使用5GBaseChecker,我们测试了17个商用5G基带和2个开源5G基带(UE)实现,发现了13个独特的0day漏洞和65个漏洞。

在我们的发现中,最严重的漏洞是在广泛使用的 5G 基带之一中发现的“5G AKA 绕过”。此漏洞允许攻击者拦截和窃听受害者的互联网数据并注入钓鱼短信。这次攻击的影响是深远的;它影响了全球使用该特定基带的 5G 设备的用户。这个漏洞违反了 5G 技术的基本安全保障,使用户的安全和隐私完全受到损害。

总之,在本次演讲中,我们将介绍一种新的安全分析工具 5GBaseChecker。我们将展示该框架在识别关键安全漏洞方面的应用,包括对商用基带中 5G AKA Bypass 漏洞的详细解释和真实利用视频演示。

议题链接:https://www.blackhat.com/us-24/briefings/schedule/#cracking-the-g-fortress-peering-into-gs-vulnerability-abyss-40620

据演讲者介绍,这是一种非常容易实现的攻击方式,涉及通常被忽视的漏洞和设备,你甚至可以在网上花几百美元就能买到。

第一步:设置伪基站

当手机设备首次尝试与移动网络基站连接时,两者将经历身份验证和密钥协议 (AKA)。设备发送注册请求,工作站回复身份验证和安全检查请求。

虽然基站会审查手机,但手机并不会审查基站,其合法性基本上已被视为既定事实。

宾夕法尼亚州立大学研究助理Syed Md Mukit Rashid解释道:“基站通过每20分钟或40分钟广播一次’你好’消息来广播它们在特定区域的存在,而这些广播消息都没有身份验证或任何类型的安全机制。

“它们只是明文消息。因此,手机或移动设备无法检查是否来自伪基站。”

建立伪基站现如今更加容易,只需要使用 Raspberry Pi(树莓派) 或更好的软件定义无线电 (SDR) 来模拟真实的无线电,甚至可以在网上轻易购买到。

然后通过一些开源软件(OSS)设置为伪基站,昂贵的 SDR 可能要花费数万美元,但能够完成工作的廉价 SDR 仅需几百美元。

第二步:漏洞利用

与其它安全过程一样,AKA 也可以被利用。例如,在一个流行的移动处理器品牌中集成的5G调制解调器中,研究人员发现了一个处理不当的安全标头,攻击者可以利用该标头完全绕过AKA进程。

该处理器用于世界上最大的两家智能手机公司制造的大多数设备,在吸引目标设备后,攻击者可以使用 AKA 绕过返回恶意制作的“已接受注册”消息并启动连接。

此时,攻击者将成为受害者的互联网服务提供商,能够以未加密的形式看到他们在网络上所做的一切。他们还可以通过发送鱼叉式网络钓鱼短信或将他们重定向到恶意网站等方式吸引受害者。

虽然AKA绕过是非常严重的,但研究人员还发现了其它漏洞,使攻击者能够确定设备位置,并执行拒绝服务(DoS)攻击。

如何保护

目前研究人员已经向相关移动供应商报告了他们发现的所有漏洞,厂商均部署了修复补丁。

不过,更持久的解决方案必须从确保 5G 身份验证开始,研究人员 Rashid 称,“如果你想确保这些广播消息的真实性,需要使用公钥 [基础设施] 加密 (PKI)。部署 PKI 的成本很高——你需要更新所有手机基站,此外,还存在一些非技术性的挑战。

这种大修不太可能很快完成,因为 5G 系统出于特定原因以明文方式传输信息。信息是以毫秒为单位发送的,如果采用某种加密机制,就会增加基站和用户设备的计算开销。

Rashid解释:"计算开销也与时间有关,因此从性能上来说会慢一些。也许性能方面的激励要大于安全方面的激励。但无论是通过伪基站、Stingray 设备还是其他手段,它们都利用了一个共性–基站的初始广播信息缺少验证"。

以上内容由骨哥翻译并整理。

原报道来自:https://www.darkreading.com/mobile-security/your-phone-s-5g-connection-is-exposed-to-bypass-dos-attacks