Спецпроекты

Найдены три способа выслеживания абонента в несуществующих сетях 5G. В 4G работают тоже

2596
Безопасность Стратегия безопасности Телеком

Описаны теоретические атаки на сотовых абонентов, эксплуатирующие особенности сегодняшней реализации 4G-сетей, а также вероятные особенности 5G.

В поисках временного идентификатора

Группа экспертов из Университетов штата Айова и Пердью в штате Индиана описали несколько гипотетических атак, нацеленных на пользователей сетей 4G и 5G LTE.

Уязвимости в протоколе сотовой пейджинговой связи позволяют злоумышленникам удалённо обходить механизмы защиты, реализованные в 4G и 5G, и с помощью устройств, известных как «ловцы IMSI» (IMSI-catcher), перехватывать звонки пользователей и отслеживать их местоположение.

Исследователи нашли три разных типа атак, которые эксплуатируют пейджинговый механизм.

Первая атака, необходимая для успеха второй и третьей, получила название - ToRPEDO (TRacking via Paging mEssage DistributiOn - отслеживание через распространение пейджингового сообщения) - позволяет локализовать целевое устройство; злоумышленник также может внедрять фальшивые пейджинговые сообщения и устраивать DoS-атаки.

Когда мобильное устройство простаивает, оно лишь изредка опрашивает сеть на предмет поступающих данных для фоновых служб. Если в этом режиме поступает звонок или SMS-сообщение, узел управления мобильностью (MME) сети запрашивает у ближайшей базовой станции отправку на устройство пейджингового сообщения с уведомлением о поступающем вызове.

Опубликованы способы атак на сотовых абонентов, эксплуатирующие вероятные особенности сетей 5G

Такое сообщение включает временный идентификатор абонента сотовой связи (TMSI) устройства; предполагается, что MME назначает этот идентификатор случайным образом и что он должен регулярно меняться. Однако уже известно, что на деле это не так.

«Злоумышленник за короткое время начинает и прерывает большое количество звонков и при этом перехватывает пейджинговые сообщения с помощью IMSI-кэтчеров, - говорится в описании атаки. - Если наиболее часто встречающийся TMSI попадается среди пейджинговых сообщений в достаточной степени регулярно, это сигнал о том, что целевое устройство присутствует в одной со злоумышленником соте».

Опасность от атаки смягчается частой сменой TMSI и назначением действительно случайных значений для каждого нового TMSI; однако, как указывают исследователи, "ToRPEDO.... позволяет установить присутствие нужного устройства в географической зоне (соте) с помощью не более десяти звонков, даже если предполагать, что TMSI меняется после каждого вызова. Более того, в процесс злоумышленник может точно установить, когда устройство выходит из спящего режима для проверки пейджинговых сообщений, а также выяснить семь битов информации о постоянном идентификаторе устройства".

Атака ToRPEDO позволяет злоумышленнику выяснить присутствие искомого устройства в любой сотовой зоне - при условии, что в ней же находится контролируемый злоумышленником IMSI-кэтчер, а также выяснить его текущее состояние ("спящий" или активный режим). ToRPEDO также позволяет совершать и другие атаки, от перехвата пейджингового канала жертвы (и, как следствие, DoS-атак или отправки фальшивых сообщений о чрезвычайных ситуациях), и до установления связи между, например, аккаунтом в твиттере и конкретным телефонным номером и аппаратом.

...И другие атаки

Помимо прочего, ToRPEDO открывает путь для двух других комплексных атак - IMSI-Cracking и PIERCER.

IMSI-Cracking позволяет, при наличии информации о номере телефона, устанавливать уникальный идентификатор пользователя с помощью брутфорс атаки. Благодаря ToRPEDO злоумышленник может выяснить семь битов уникального идентификатора; ещё 24 предстоит угадать. Но при наличии нужных вычислительных мощностей, злоумышленник может выяснить IMSI менее чем за 13 часов.

Что касается PIERCER (Persistent Information ExposuRe by the CorE netwoRk - постоянное раскрытие информации ядром сети), то здесь злоумышленнику понадобится сниффер и фальшивая базовая станция (стоимостью $200 и $400 соответственно). Благодаря этому он сможет проассоциировать IMSI-идентификатор целевого устройства и используемый им телефонный номер. PIERCER хорошо срабатывает против тех сетей, где в пейджинговых страницах указывается не временный (TMSI), а сразу уникальный идентификатор (IMSI).

Эксперты полагают, что ToRPEDO и IMSI-Cracking сработают и в сетях 4G, и в 5G. Для экспериментов использовались 4G-сети трёх канадских и четырёх американских сервис-провайдеров. PIERCER сработает только в сетях 4G. Подтвердить работоспособность ToRPEDO и IMSI-Cracking с помощью полевых тестов им не удалось по причине отсутствия нужных сетей.

«Можно было бы сказать, что исследователи опережают события, поскольку полноценно развёрнутых 5G-сетей ещё толком нет, однако, чем раньше будут «подсвечены» возможные уязвимости, тем лучше, - считает Олег Галушкин, директор по информационной безопасности компании SEC Consult Services. - Вдобавок эти же уязвимости затрагивают вполне уже распространённые сети 4G, так что угрозу едва ли можно считать гипотетической».



Взгляд месяца

Почему идея внутренней разработки себя не оправдала

Александр Глазков

председатель совета директоров, «Диасофт»

Тема месяца

Обзор: ИКТ в госсекторе

Рейтинги CNews

• Топ-100 ИКТ-тендеров для федеральных ведомств • Крупнейшие поставщики • ИКТ-бюджеты регионов