惡意網站 GSM行動通訊 資訊安全 網路安全 5G 數位簽章 Digital Signatures

5G行動通訊陸續上線 威脅指數升高傷害加倍

假基地台攻擊防不勝防 亟需威脅偵測揪出中間人

2019-12-11
GSM系統的單向認證機制存在缺陷,因而讓假基地台有機可趁,惡意人士透過假基地台監測無線通訊系統中的各種訊令傳輸來竊取私密資料,進行盜用或詐騙,所以目前急需威脅偵測機制來偵測假基地台的存在,以保障合法終端用戶的隱私安全。

 

假基地台是一種由軟體無線電與電腦等組成非法無線電通訊裝置,該裝置利用第二代全球行動通訊系統(Global System for Mobile Communications,GSM)系統單向認證的缺陷,讓用戶手機訊號被強制連接到該裝置上,讓用戶手機無法連接到合法的電信網路,進一步影響到手機用戶的正常使用與安全性。

假基地台啟動後,就會干擾和封鎖一定範圍內的電信業者訊號,監測全球行動通訊系統行動通訊過程中的各種訊令,並獲取該裝置覆蓋範圍內的手機號碼,以及手機用戶目前的位置資訊。功率大的假基地台輻射的範圍很廣,離基地台越近,就會有手機被迫與其連接受到影響。

假基地可以放置在行駛速度不高於每小時60公里的車上,具有一定的移動性,該裝置能夠同時任意冒用他人手機號碼,強行對裝置覆蓋範圍內的全球行動通訊系統(GSM)行動電話用戶手機傳送詐騙、推銷等垃圾簡訊,甚至是電子信箱號和特服號碼。

假基地台傳送惡意連結簡訊、操控綁架手機

根據德國GSMK CryptoPhone所收集的資料,在美國拉斯維加斯的南岬賭場飯店旁就發現佈建許多假基地台的設備。許多攔截器被發現的地點都離美軍基地不遠,這些基地台可攔截並發送資料到市面中各式各樣不同系統的手機,除了可竊聽外,更可以進一步操控、綁架手機,並在背景執行各種功能。其實目前的手機系統中都存在著許多隱藏的次系統,由於架構的關係,有心人很容易透過中繼的手機基地台來攔截訊號,達成入侵系統、監聽或是竊取資料的目的。

此外,中國安全研究人員就曾經發現以假電信基地台裝置散佈帶有惡意網站連結的文字簡訊(Short Message Service,SMS)給鄰近的無辜手機用戶,用戶連上惡意網站下載APK檔後,植入一隻木馬程式Swearing Trojan。該木馬程式一方面竊取使用者登入資料冒充使用戶身分登入,藉此騙取行動銀行帳戶的登入資訊,另一方面則取代原有的手機簡訊應用程式(SMS App),進一步攔截銀行應用程式以簡訊傳送的一次性密碼,藉此迴避兩階段安全驗證(Two Factory Authentication)。

進階版長期演進技術(LTE-A)的中間人威脅

在《Breaking LTE on Layer Two》一文中,透過分析進階版長期演進(Long Term Evolution – Advanced,LTE-A)技術協議發現了LTE-A的資料連結層(Data Link Layer)存在漏洞。LTE-A的控制面用於傳輸控制訊令(Control-plane Signalling),而用戶面(User-plane)則用於傳輸手機用戶資料,如語音通話與網頁瀏覽的傳輸資料。

LTE-A在封包資料匯聚通訊協定(Packet Data Convergence Protocol,PDCP)層透過金鑰實現控制面和用戶面封包資料的加密以及完整性保護。圖1為無線擷取Uu接口之封包資料匯聚通訊協定層功能示意圖,可以看到在無線擷取Uu接口的控制面有加密和完整性保護,然而在無線擷取Uu接口的用戶面僅提供加密保護。雖然營運商在部署時通常都會啟用用戶面加密,但是該攻擊卻透過密文竄改的漏洞依然可以成功進行。

圖1  封包資料匯聚通訊協定層功能示意圖(資料來源:3GPP)

儘管LTE-A有許多的安全機制,例如當手機連接到網路時會建立多重認證讓手機和核網可以分別互相確認對方,並進一步透過共享金鑰來加密系統控制訊令(Control-plane Signalling)和手機用戶資料(User-plane Data)。然而,aLTEr的攻擊仍然可以規避這些安全機制,透過惡意中繼站攔截合法手機的網路資訊,並進一步分析出合法手機可能造訪的網站,甚至透過網域名稱系統(Domain Name System,DNS)詐騙將用戶重定向到惡意網站。

攻擊者透過模擬合法的假基地台向用戶設備發送信號,攻擊者可以同時攔截並重放手機用戶和網路之間傳輸的所有數據。對於用戶來說,所有的存取都是正常的,不會有任何明顯的異常。惡意的DNS伺服器執行DNS欺騙,將正常的域名解析到惡意的IP地址,讓手機用戶在瀏覽一個正常網站的時候,實際瀏覽卻是攻擊者指定的惡意網站,如圖2所示。

圖2  行動通訊系統的中間人示意圖(資料來源:Breaking LTE on Layer Two)

了解惡意中繼站之攻擊過程及原理

實現這個攻擊核心組件是透過LTE-A技術之中繼站(Relay Station)運作的技術,在營運商基地台(eNodeB)和手機(UE)之間插入一個惡意中繼站。該惡意中繼站由一個假基地台(False eNodeB)和一個惡意終端(Malsiuous UE)組成(圖3)。合法終端(Legal UE)發送給營運商合法基地台(Legal eNodeB)的上行傳輸資料被假基地台接收,透過偽惡意終端發送給營運商的合法基地台。

圖3  惡意中繼站的硬體平台(資料來源:Breaking LTE on Layer Two)

營運商的合法基地台發送給合法終端的下行傳輸資料被惡意終端接收,透過假基地台發送給合法終端。這樣一來,所有合法終端與營運商合法基地台之間的傳輸資料,都會通過惡意中繼站。

當LTE-A網路啟用用戶面加密後,要發起攻擊需要解決無線擷取Uu接口之加密機制,進而修改IP層的傳輸資料。由於封包資料匯聚通訊協定(PDCP)層的用戶面採用串流加密法(Stream Cipher),攻擊者可以繞過加密機制任意篡改傳輸資料封包。圖4為透過惡意中繼站之後的合法終端用戶面傳輸資料封包加解密示意圖。

圖4  合法終端用戶面傳輸資料封包加解密示意圖(資料來源:Breaking LTE on Layer Two)

如果知道傳輸資料封包的原始明文,就可以得到篡改明文封包的Mask。而對於同一行動通訊系統營運商而言,其網域名稱系統(DNS)一般為固定值,攻擊者非常容易猜測出同一區域的DNS傳輸資料封包的明文。只需要修改合法終端發送的DNS請求中的IP位址,就能夠實現網域名稱系統詐騙(DNS Spoof)攻擊。

因應5G行動通訊系統之中間人威脅

由於電信營運商升級第五代行動通訊(5G)並非一蹴可幾,在升級過程中搭配LTE-A技術網路與新無線電技術(New Radio,NR)的5G非獨立組網(NSA)架構會持續運作(圖5),所以該漏洞也會影響5G的標準安全性。

圖5  第五代行動通訊(5G)非獨立組網(NSA)架構示意圖(資料來源:3GPP)

全球行動通訊系統協會(Groupe Speciale Mobile Association,GSMA)已經將惡意中繼站對行動通訊系統的中間人威脅GSMA Doc CVD -2019-0024列於Coordinated Vulnerability Disclosure(CVD)資料庫中,並行文第三代合作夥伴計畫(3GPP)請求在標準層面進行改善,如表1所示。

在2018年8月20日至24日於中國大連舉行的3GPP安全性工作群組(SA3 Security)的國際標準會議中,針對5G假基地台的安全威脅也正式通過由蘋果(Apple)公司主導的Study on 5G Security Enhancement against False Base Stations研究項目。該工作提案除了包含蘋果、聯想(Lenovo)、摩托羅拉行動(Motorola Mobility)、維沃移動通信(vivo)、廣東歐珀移動通信(OPPO)、三星(Samsung)、華為(Huawei)、中興(ZTE)等手機製造機商的支持以外,還獲得包含沃達豐(Vodafone)、T-mobile、AT&T、中國移動(China Mobile)、英國電信(BT)、德國電信(Deutsche Telekom)、Orange等眾多電信營運的支持,並針對為假基地台的攻擊威脅在安全性工作群組的國際標準會議中,提出對應解決的7項關鍵議題(表2)與18項解決方案(表3),並催生了TR 33.809技術報告草案。

其中方案7透過數位簽章(Digital Signatures)來確認連線對象是否為營運商合法基地台(Legal eNodeB),為了使合法終端(Legal UE)能夠驗證接收到的系統資訊(System Information,SI)的真實性,需要對5G的新無線電技術(NR)的系統廣播資訊進行數位簽章(Digital Signatures)。如圖6所示,利用專用安全密鑰(K-SIGPrivate)和時間計數器(Time Counter)對系統廣播資訊透過安全演算法中產生數位簽章。使用時間計數器可以確保合法終端能夠區別是否收到重播(Replay)的系統資訊(SI)。

圖6  使用數位簽章(Digital Signatures)確認合法基地台(Legal eNodeB)(資料來源:3GPP TR 33.809)

結語

隨著無線通訊技術的快速成長,無線通訊的各種應用已充斥於人們的生活中,且人們對於無線通訊的需求亦日益增加。隨著無線通訊裝置的普及,開始有惡意人士透過偽基地台監測無線通訊系統中的各種訊令傳輸,以對無線通訊系統中的使用者裝置、基地台或核心網路進行攻擊,或自使用者裝置竊取私密資料而進行盜用或詐騙。有鑑於此,急需一種威脅偵測機制來偵測假基地台的存在,藉此保護行動通訊系統合法終端用戶的隱私安全性。

<本文作者蔡宜學為財團法人資訊工業策進會資訊安全研究所正工程師。>

 


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!