Спецпроекты

Найдены три способа выслеживания абонента в несуществующих сетях 5G. В 4G работают тоже

2596
Безопасность Стратегия безопасности Телеком

Описаны теоретические атаки на сотовых абонентов, эксплуатирующие особенности сегодняшней реализации 4G-сетей, а также вероятные особенности 5G.

В поисках временного идентификатора

Группа экспертов из Университетов штата Айова и Пердью в штате Индиана описали несколько гипотетических атак, нацеленных на пользователей сетей 4G и 5G LTE.

Уязвимости в протоколе сотовой пейджинговой связи позволяют злоумышленникам удалённо обходить механизмы защиты, реализованные в 4G и 5G, и с помощью устройств, известных как «ловцы IMSI» (IMSI-catcher), перехватывать звонки пользователей и отслеживать их местоположение.

Исследователи нашли три разных типа атак, которые эксплуатируют пейджинговый механизм.

Первая атака, необходимая для успеха второй и третьей, получила название - ToRPEDO (TRacking via Paging mEssage DistributiOn - отслеживание через распространение пейджингового сообщения) - позволяет локализовать целевое устройство; злоумышленник также может внедрять фальшивые пейджинговые сообщения и устраивать DoS-атаки.

Когда мобильное устройство простаивает, оно лишь изредка опрашивает сеть на предмет поступающих данных для фоновых служб. Если в этом режиме поступает звонок или SMS-сообщение, узел управления мобильностью (MME) сети запрашивает у ближайшей базовой станции отправку на устройство пейджингового сообщения с уведомлением о поступающем вызове.

Опубликованы способы атак на сотовых абонентов, эксплуатирующие вероятные особенности сетей 5G

Такое сообщение включает временный идентификатор абонента сотовой связи (TMSI) устройства; предполагается, что MME назначает этот идентификатор случайным образом и что он должен регулярно меняться. Однако уже известно, что на деле это не так.

«Злоумышленник за короткое время начинает и прерывает большое количество звонков и при этом перехватывает пейджинговые сообщения с помощью IMSI-кэтчеров, - говорится в описании атаки. - Если наиболее часто встречающийся TMSI попадается среди пейджинговых сообщений в достаточной степени регулярно, это сигнал о том, что целевое устройство присутствует в одной со злоумышленником соте».

Опасность от атаки смягчается частой сменой TMSI и назначением действительно случайных значений для каждого нового TMSI; однако, как указывают исследователи, "ToRPEDO.... позволяет установить присутствие нужного устройства в географической зоне (соте) с помощью не более десяти звонков, даже если предполагать, что TMSI меняется после каждого вызова. Более того, в процесс злоумышленник может точно установить, когда устройство выходит из спящего режима для проверки пейджинговых сообщений, а также выяснить семь битов информации о постоянном идентификаторе устройства".

Атака ToRPEDO позволяет злоумышленнику выяснить присутствие искомого устройства в любой сотовой зоне - при условии, что в ней же находится контролируемый злоумышленником IMSI-кэтчер, а также выяснить его текущее состояние ("спящий" или активный режим). ToRPEDO также позволяет совершать и другие атаки, от перехвата пейджингового канала жертвы (и, как следствие, DoS-атак или отправки фальшивых сообщений о чрезвычайных ситуациях), и до установления связи между, например, аккаунтом в твиттере и конкретным телефонным номером и аппаратом.

...И другие атаки

Помимо прочего, ToRPEDO открывает путь для двух других комплексных атак - IMSI-Cracking и PIERCER.

IMSI-Cracking позволяет, при наличии информации о номере телефона, устанавливать уникальный идентификатор пользователя с помощью брутфорс атаки. Благодаря ToRPEDO злоумышленник может выяснить семь битов уникального идентификатора; ещё 24 предстоит угадать. Но при наличии нужных вычислительных мощностей, злоумышленник может выяснить IMSI менее чем за 13 часов.

Что касается PIERCER (Persistent Information ExposuRe by the CorE netwoRk - постоянное раскрытие информации ядром сети), то здесь злоумышленнику понадобится сниффер и фальшивая базовая станция (стоимостью $200 и $400 соответственно). Благодаря этому он сможет проассоциировать IMSI-идентификатор целевого устройства и используемый им телефонный номер. PIERCER хорошо срабатывает против тех сетей, где в пейджинговых страницах указывается не временный (TMSI), а сразу уникальный идентификатор (IMSI).

Эксперты полагают, что ToRPEDO и IMSI-Cracking сработают и в сетях 4G, и в 5G. Для экспериментов использовались 4G-сети трёх канадских и четырёх американских сервис-провайдеров. PIERCER сработает только в сетях 4G. Подтвердить работоспособность ToRPEDO и IMSI-Cracking с помощью полевых тестов им не удалось по причине отсутствия нужных сетей.

«Можно было бы сказать, что исследователи опережают события, поскольку полноценно развёрнутых 5G-сетей ещё толком нет, однако, чем раньше будут «подсвечены» возможные уязвимости, тем лучше, - считает Олег Галушкин, директор по информационной безопасности компании SEC Consult Services. - Вдобавок эти же уязвимости затрагивают вполне уже распространённые сети 4G, так что угрозу едва ли можно считать гипотетической».



Стратегия месяца

Периферийные вычисления перемещаются в центр внимания

Взгляд месяца

Идея внутренней разработки себя не оправдала

Наталия Оржевская

директор центра управления командами, «Диасофт»