Новые уязвимости в

Сети 5G

Альтаф Шаик *, Равишанкар Боргаонкар #

*
Technische Universität Berlin и Kaitiaki Labs
Электронная почта: altaf329@sect.tu-berlin.de

#
SINTEF Digital и Kaitiaki Labs
Электронная почта: rbbo@kth.se

Аннотация

Безопасность в сети 5G изменилась и стала более эффективной, чем в предыдущих поколениях.

В этом докладе мы рассмотрим функции безопасности радиосетей 5G и выявим новые
уязвимости, затрагивающие как инфраструктуру оператора, так и конечные устройства (включая
мобильные телефоны, NB-IoT, ноутбук и т. Д.). Мы демонстрируем, как можно использовать эти
новые уязвимости в стандартах безопасности 5G / 4G, используя недорогие аппаратные и
программные платформы. В частности, мы представляем новый автоматизированный инструмент
для проведения практической оценки и обмена данными с исследовательским сообществом.
Кроме того, мы выявили проблемы реализации на сотнях базовых станций 4G по всему миру и в
коммерчески доступных протоколах NB-IoT, которые можно использовать для установки атак по
разряду батареи, угону и подавлению.
1. Введение

Сотовые устройства поддерживают различные технические функции и услуги для сетей 2G, 3G, 4G и будущих
сетей 5G. Например, эти технические характеристики содержат физические
категории пропускной способности уровня, протокол радиосвязи информационная безопасность
алгоритм, полосы агрегации несущих и тип услуг, таких как GSM-R, передача голоса по LTE и т. д. В
контексте стандартизации безопасности сотовой связи эти технические функции и сетевые услуги
называются возможностями устройства и обмениваются с сетью на этапе регистрации устройства. В
этом докладе мы изучаем информацию о возможностях устройства, заданную для устройств 4G и 5G,
и их роль в установлении ассоциации безопасности между устройством и сетью. Результаты наших
исследований показывают, что возможности устройства обмениваются с сетью до стадии
аутентификации без какой-либо защиты и не проверяются сетью. Следовательно, информация о
возможностях устройства может быть использована злоумышленником для выполнения нескольких
атак на мобильного абонента. Мы представляем три класса атак:

а) Идентификационные атаки позволить злоумышленнику обнаруживать устройства в мобильной сети и

раскрывать их аппаратные и программные характеристики (например, модель, производитель, версия) и
приложения, работающие на них;

б) Уничтожение атак перехватить возможности устройства, предоставляемые радиоинтерфейсом

LTE, и снизить скорость передачи данных устройства с 27 Мбит / с до 3,7 Мбит / с, а также лишить
абонентов LTE услуг Voice Over LTE (VoLTE) и понизить их до сетей 3G / 2G;

с) Атаки разряда батареи которые нацелены на устройства NB-IoT и LTE-M, чтобы сломать свои энергосберегающие
возможности и сократить время автономной работы в 5 раз быстрее, чем ожидаемый срок службы.

Мы осуществили все наши атаки и протестировали их с использованием коммерческих устройств LTE, а также
в реальных сетях LTE. Поскольку выявленные нами уязвимости присутствуют в стандартах 3GPP, это
затрагивает все устройства, поддерживающие стандарты LTE (и предстоящие 5G). Более того, наши атаки
молчаливы и продолжительны в течение нескольких дней и, к счастью, требуют небольших исправлений,
чтобы смягчить их. Результаты наших исследований доводятся до сведения органов стандартизации сотовой
связи (SA3), операторов сетей и принимаются корректирующие меры. Мы надеемся увидеть изменения в
спецификациях 3GPP 5G для устранения недостатков, описанных в этом документе.
2. Уязвимости

Мы выявили три уязвимости в процедуре регистрации LTE. Они используют возможности UE,
отправленные в сеть во время процедур регистрации или TAU, и описаны следующим
образом.

• Во-первых, как базовая сеть, так и возможности радиодоступа могут быть получены от UE без
установления аутентификации. Это позволяет активному или пассивному противнику получить все
возможности UE. Мы используем эту уязвимость и демонстрируем атаки с целью идентификации типов
устройств.

• Во-вторых, операторы мобильной сети запрашивают возможности радиодоступа от UE до

установки безопасности RRC. В результате возможности UE передаются в виде простого текста, и
злоумышленник может взломать эти возможности. Мы изучаем угрозы, возникающие в результате этой
уязвимой операции, и демонстрируем атаки на устройства, снижающие цены.

• В-третьих, сообщение запроса на присоединение всегда отправляется незашифрованным UE в сеть, но оно

может быть защищено целостностью в случае существующего контекста безопасности NAS в UE. Однако
процесс регистрации не прерывается, даже если проверка целостности завершается неудачно в MME. В таком
случае содержимое сообщения «Запрос на присоединение» уязвимо для атак внедрения или модификации. В
частности, возможности базовой сети внутри этого сообщения могут быть взломаны злоумышленником. Мы
обнаружили, что изменение некоторых возможностей базовой сети может привести к атакам с отключением
питания на устройства NB-IoT.

3. Экспериментальная установка

Мы строим экспериментальную установку, как показано на рисунке 1, чтобы продемонстрировать и проверить наши

атаки. Наши аппаратные элементы состоят из двух хост-компьютеров i7, использующих ОС Linux, и двух радиомодулей,

сделанных из универсального программного обеспечения Radio Peripheral B210. B210 - это программно-определяемое

радио, которое управляется программным обеспечением на основе хоста через порт USB3 для выполнения операций

передачи и приема. Далее, наши программные элементы создаются с использованием открытого проекта srsLTE [38].

Именно мы используем программное обеспечение srsUE и srseNB для работы в качестве UE и eNodeB соответственно.

Кроме того, мы использовали испытательный стенд, предлагаемый поставщиком, для проведения экспериментов NB-IoT.

На этом испытательном стенде у нас есть доступ для настройки, изменения и визуализации сообщений плоскости

управления LTE. По соображениям конфиденциальности мы не показываем этот стенд в этой статье. Как показано на

рисунке 2, программное обеспечение

выполняется на главном ПК, который управляет B210 для передачи и приема сигналов LTE. Для выполнения
наших атак мы разрабатываем и эксплуатируем мошеннический eNodeB и ретранслятор, который действует как
MITM между UE жертвы и законной сетью.

Рисунок 1: Экспериментальная настройка (MITM Relay)

4. Атаки

а. Отпечаток устройства

Определить тип устройств в мобильной сети и интеллектуально оценить базовые приложения. Мы

начнем с анализа возможностей UE и создадим эталонную модель, используя набор известных устройств
и методов для различения различных устройств и приложений. Далее мы используем нашу эталонную
модель для выполнения атаки Mobile Network Mapping (MNmap). Мы представляем различные уровни
идентификации на рисунке 2 ниже. Будучи активным или пассивным злоумышленником, мы приобретаем
ядро ​UE и возможности радиосвязи и проводим идентификацию.
 Рисунок 2: Уровни идентификации устройства

б. Привязка устройства вниз

Рисунок 3: Атака устройства вниз

Мы выполняем атаку MitM, используя нашу экспериментальную установку, чтобы захватить возможности
радиодоступа UE во время процедуры регистрации. Из-за конфигурации операторов мобильной связи или
реализации поставщика eNodeB запрашивает возможности радиодоступа UE до установки безопасности
RRC. Это позволяет противнику MitM изменять информацию о возможностях UE, отправляемую UE, как
показано на рисунке 3 выше. Эксперименты с iphone 8 и мобильным роутером Nighthawk M1. Скорость
упала с 27 Мбит / с до 3 Мбит / с. Атака является постоянной, поскольку возможности хранятся в MME и
повторно используются eNodeB для каждой транзакции UE. Протестировано на 30 мобильных сетях по
всему миру и 21 пострадавших.

с. Разрядка аккумулятора устройства

Мы разряжаем батарею устройств NB-IoT с низким энергопотреблением, будучи MitM на радиоинтерфейсе LTE.
Чтобы продемонстрировать эту атаку, мы устанавливаем наш испытательный стенд NB-IoT как MitM (ретранслятор),
а оценочный комплект Quectel BC68 (далее именуемый BC68) - как UE жертвы. Поскольку BC68 является платой
разработки, мы имеем доступ к ее диагностическим портам и можем отслеживать ее сигнальные сообщения LTE и
внутренние журналы активности. В ходе атаки наше реле изменяет содержимое сообщения запроса на
присоединение, как показано на рисунке 4 ниже. Атакующий отключает режим энергосбережения из запроса на
присоединение, и поэтому BC68 не может получить сообщение PSM ON из сети. Следовательно, батарея BC68
постоянно разряжается из-за ее использования модемом для измерения сигнала и других внутренних действий,
поскольку она не выключена. Срок службы батареи уменьшается в 5 раз.

Рисунок 4: разрядка аккумулятора

5. Смягчения

- Возможности устройства Radio должны быть доступны только после установления безопасности.

- Все возможности базовой сети, отправленные в сообщениях с запросом на присоединение, должны быть проверены
после установки NAS Security.

6. Больше ресурсов

Для подробной статьи: [1]. https://dl.acm.org/citation.cfm?id=3319728

Последующие меры по смягчению последствий 3GPP [2]. https://www.3gpp.org/ftp/tsg_sa/WG3_Security/TSGS3_95Bis_Sapporo/Docs/S3-

192271.zip