諾基亞貝爾實驗室和芬蘭阿爾托大學(xué)的研究人員演示了如何攻擊LTE網(wǎng)絡(luò)協(xié)議。
之前我們已經(jīng)多次報道過SS7信號協(xié)議的漏洞了,利用協(xié)議的漏洞,攻擊者可以追蹤用戶。
當(dāng)用戶在各個國家旅游時,他們的手機會連接到當(dāng)?shù)剡\營商,然后再與用戶本國的運營商聯(lián)系。SS7協(xié)議能夠用來漫游,但是這個協(xié)議存在漏洞,黑客可以利用漏洞來:
跟蹤位置
監(jiān)聽
詐騙
對用戶或網(wǎng)絡(luò)發(fā)動DoS攻擊
竊取密碼
數(shù)據(jù)劫持
短信攔截
Diameter同樣能被攻擊
Diameter被認(rèn)為是LTE網(wǎng)絡(luò)SS7協(xié)議的完善版本,理應(yīng)更加安全,但專家們在這款協(xié)議中同樣發(fā)現(xiàn)了安全問題,其中一個就是沒有使用IPsec協(xié)議。
研究人員表示,這就意味著Diameter能夠被用同樣的手段攻擊。
專家團隊進行了數(shù)次測試評估攻擊,測試中,他們對在芬蘭的英國用戶進行了網(wǎng)絡(luò)攻擊,發(fā)現(xiàn)了多種干擾服務(wù)的方法。
攻擊者可以選擇暫時或永久地關(guān)閉用戶連接,也可以針對某一整個地區(qū)實施攻擊。
研究團隊在倫敦舉行的黑帽大會上演示了成果。
攻擊過程
要對其他運營商的系統(tǒng)或者用戶進行攻擊,研究人員首先得要能夠訪問IPX。他們演示了幾種能夠訪問IPX的方法,比如政府可以強制本地的運營商給予權(quán)限。
攻擊者可以偽裝成虛擬網(wǎng)絡(luò)運營商,然后通過已有的運營商獲得漫游網(wǎng)絡(luò)的權(quán)限。也可以黑掉運營商的某個暴露在公網(wǎng)中的節(jié)點。我們來看看LTE網(wǎng)絡(luò)的組成:
LTE網(wǎng)絡(luò)中的節(jié)點被稱為MME(Mobility Management Entity,移動管理實體),它主要負(fù)責(zé)會話管理、用戶驗證、漫游以及將用戶移交給其他網(wǎng)絡(luò)。信號通過信號塔傳播,同時歸屬用戶服務(wù)器(HSS,Home Subscriber Server)負(fù)責(zé)存儲用戶的相關(guān)信息及其相關(guān)業(yè)務(wù)信息。LTE網(wǎng)絡(luò)中的其他重要組件包括DEA(DiameterEdge Agents)負(fù)責(zé)在攻擊中充當(dāng)進入互聯(lián)網(wǎng)絡(luò)的網(wǎng)關(guān)。在實施攻擊的過程中,黑客需要有受害者的IMSI,獲取過程并不難:黑客可以偽裝成短信服務(wù)中心,試圖發(fā)送短信到受害者的手機號,從而獲得IMSI。因此,只要知道對方的移動臺ISDN號碼(MSISDN),知道對方運營商的DEA,就可以對其進行攻擊了。
攻擊者首先通過DEA給HSS發(fā)送一個路由信息請求,而請求的回復(fù)中會包含用戶的IMSI和用戶連接的是哪個MME。
接著,攻擊者偽裝成某個合作伙伴的HSS,向受害者的MME發(fā)送一條“取消位置請求(CLR)”的信息,導(dǎo)致用戶斷線。
這個CLR信息原來是當(dāng)用戶從一個MME切換到另一個MME時發(fā)送的。
多種攻擊方式
研究人員還提出了另一種漏洞的利用方法,通過這種方法可以“放大”請求。研究人員注意到當(dāng)用戶重新接入網(wǎng)絡(luò)時,設(shè)備向MME發(fā)送20條不同的消息。
如果攻擊者強制讓大量用戶同時下線,當(dāng)他們重新上線時,MME就會涌入大量消息,導(dǎo)致MME被DoS攻擊,進而造成MME所負(fù)責(zé)的一大塊區(qū)域停止服務(wù)。
另一個DoS攻擊場景是這樣的:攻擊者冒充HSS,向受害者的MME發(fā)送一條IDR(Insert Subscriber Data Request,插入用戶數(shù)據(jù)請求)信息,信息的內(nèi)容比較特別,是一個特殊的,表示無服務(wù)的值。這樣用戶就會永久被踢下網(wǎng)絡(luò)。如果用戶想要再次連接,唯一的辦法就是聯(lián)系移動運營商了。
京公網(wǎng)安備 11010502049343號