我們發(fā)現(xiàn)了一種新方法能夠利用 LTE 和 5G 中的 MAC 層協(xié)議,通過使用其他人的網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程通信。這個新發(fā)現(xiàn)的 LTE/5G MAC 層協(xié)議標(biāo)準(zhǔn)中的漏洞很可能會影響到其他的無線寬帶標(biāo)準(zhǔn)。該漏洞可讓未經(jīng)授權(quán)的設(shè)備通過服務(wù)提供商的基礎(chǔ)設(shè)施匿名交換短消息。雖然目前它對 Wi-Fi 網(wǎng)絡(luò)的影響還不是很大,但是隨著蜂窩覆蓋范圍從一個房間擴(kuò)展到更遠(yuǎn)距離,它必將成為一個值得關(guān)注的大問題。
該漏洞使得未經(jīng)授權(quán)的用戶有機(jī)會在完成網(wǎng)絡(luò)身份驗(yàn)證之前,就能對建立鏈路的初始消息當(dāng)中的要素加以利用。因此,一個匿名的非授權(quán)用戶可以利用基站廣播信號將消息傳遞給蜂窩覆蓋區(qū)域內(nèi)的另一個匿名用戶。
與已知的隱蔽通信技術(shù)相比,這種新型非授權(quán)通信技術(shù)利用的是無線接入基礎(chǔ)設(shè)施中的 MAC 層(L2),而不是直接訪問物理頻譜(L1)或使用網(wǎng)絡(luò)協(xié)議棧的其他層(L3-L7)。Wiley Online Library 表示:“媒體訪問控制(MAC)層為上層提供無線資源分配服務(wù)和數(shù)據(jù)傳輸服務(wù)。MAC 層的數(shù)據(jù)傳輸服務(wù)包括執(zhí)行調(diào)度請求、緩沖狀態(tài)報告、隨機(jī)接入和混合自動重傳請求(HARQ)等?!?/p>
該漏洞的正式名稱為 CVD-2021-0045,昵稱 SPARROW。我們已經(jīng)負(fù)責(zé)任地在 GSMA 協(xié)調(diào)漏洞披露計劃中對其進(jìn)行了披露;GSMA 移動安全網(wǎng)站也認(rèn)可了該漏洞。
SPARROW 的發(fā)現(xiàn)過程?
作為是德科技 ATI 研究中心的高級研究員,我的研究方向是信號處理和無線系統(tǒng)安全。2020 年,我在研究數(shù)據(jù)滲漏方法的工作過程中,設(shè)想了利用商用通信網(wǎng)絡(luò)中的無線廣播資源泄露數(shù)據(jù)的可能性。我意識到,網(wǎng)絡(luò)和互聯(lián)網(wǎng)應(yīng)用中存在許多威脅場景,其中一部分超出了無線安全領(lǐng)域所定義的常見威脅。我對漏洞的定義是:在預(yù)期的應(yīng)用范圍之外使用系統(tǒng)的機(jī)會。威脅場景(比如數(shù)據(jù)滲漏等)對于查找和修補(bǔ)系統(tǒng)及標(biāo)準(zhǔn)中存在的漏洞具有特殊意義。
數(shù)據(jù)滲漏場景是網(wǎng)絡(luò)安全領(lǐng)域的常見研究課題。惡意行為者可以通過它來創(chuàng)建隱蔽的通信方案,從而將受感染系統(tǒng)中的敏感信息泄漏出去。到目前為止,一些廣為人知的數(shù)據(jù)滲漏技術(shù)利用的是互聯(lián)網(wǎng)應(yīng)用和網(wǎng)絡(luò)協(xié)議,安全行業(yè)已經(jīng)開發(fā)出了針對性的預(yù)防措施。根據(jù)我對無線安全的理解,我首先問了一個關(guān)鍵的假設(shè)性問題。正是這個問題的提出,為我的新發(fā)現(xiàn)奠定了基礎(chǔ):“如果有人利用商用無線接入基礎(chǔ)設(shè)施的 MAC 層協(xié)議進(jìn)行低成本、低能耗的隱蔽通信會怎樣?”
商用無線信號幾乎無所不在,因此利用它們進(jìn)行數(shù)據(jù)滲漏的話,就可以繞過現(xiàn)有的所有預(yù)防措施。我沒有找到任何關(guān)于利用無線 MAC 層(L2)協(xié)議進(jìn)行隱蔽通信的文章,這種疏忽應(yīng)當(dāng)歸咎為研究界對隱蔽通信的理解各有不同。網(wǎng)絡(luò)安全研究人員通常將精力集中在利用 L3 到 L7 層協(xié)議的技術(shù)上。在無線安全領(lǐng)域,隱蔽通信通常指的是使用 L1 層無線信號的隱蔽廣播,包括能夠利用授權(quán)用于商用網(wǎng)絡(luò)的頻譜的 L1 盜版無線。但是,L2 是什么情況?
我的第一個研究目標(biāo)是大家耳熟能詳?shù)?3GPP 標(biāo)準(zhǔn)。 2020 年 2 月,我在 3GPP TS 36.321 標(biāo)準(zhǔn)中發(fā)現(xiàn)了一個影響 LTE 和 5G 網(wǎng)絡(luò)的漏洞。我將這個漏洞命名為 SPARROW。它允許匿名的低功耗設(shè)備在不連接網(wǎng)絡(luò)的情況下在小區(qū)內(nèi)交換隱蔽的短消息。我們與意大利米蘭的一個工程團(tuán)隊(duì)一起安排了一次概念驗(yàn)證。這個場景于 2020 年 12 月得到驗(yàn)證。
SPARROW 的危害
基于以下原因,SPARROW 會對在其他隱蔽通信方式保護(hù)下的關(guān)鍵設(shè)施構(gòu)成真正的危險:
- 匿名程度極高:SPRROW 設(shè)備在運(yùn)行時不與主機(jī)網(wǎng)絡(luò)進(jìn)行身份驗(yàn)證,因此避開了暴露給網(wǎng)絡(luò)安全和合法攔截系統(tǒng)以及頻譜掃描儀的風(fēng)險。它們利用的資源非常有限,對主機(jī)網(wǎng)絡(luò)服務(wù)的影響非常小。
- 覆蓋面大:利用基站或非地面技術(shù)的廣播功率,SPARROW 設(shè)備可以相隔幾英里進(jìn)行通信。如果在稀疏的網(wǎng)狀網(wǎng)絡(luò)中部署幾個這類設(shè)備,就可以進(jìn)一步擴(kuò)大通信范圍。
- 功耗低、操作簡單:SPARROW 設(shè)備可對安裝在商用 SDR 上的現(xiàn)有的協(xié)議實(shí)施資源庫加以利用。它們使用電池供電,或是長期從周圍環(huán)境中獲取能量,就像真正的麻雀一樣!
以下利用場景值得注意:
- 無線數(shù)據(jù)滲漏:SPARROW 設(shè)備(可能只有加密狗大?。┛赡軙蔀橐阎W(wǎng)絡(luò)數(shù)據(jù)滲漏技術(shù)的有效替代手段。
- 命令與控制:它們可以使用商用通信基礎(chǔ)設(shè)施匿名與惡意物聯(lián)網(wǎng)設(shè)備遠(yuǎn)程通信,觸發(fā)意外事件。
- 秘密活動:代理能夠與敵對區(qū)域的 SPARROW 設(shè)備進(jìn)行通信,并且不用廣播明顯的信號或直接訪問現(xiàn)有網(wǎng)絡(luò)。
以下是重要收獲:
- 無線 MAC 協(xié)議中的不安全消息可能會被低成本的用戶設(shè)備用來進(jìn)行惡意意圖的隱蔽通信。行業(yè)組織在評估安全態(tài)勢時應(yīng)當(dāng)充分考慮到這種新型漏洞。
- 該漏洞長期以來一直未被披露,這一事實(shí)應(yīng)當(dāng)引起協(xié)議規(guī)范編寫人員的足夠重視,縝密考慮在設(shè)計階段對重播和廣播的濫用。
- 研究人員應(yīng)當(dāng)對其他早期 MAC 協(xié)議開展檢查,看看是否存在其他繞過流量檢驗(yàn)設(shè)備的隱蔽通信方法。
您如何防范網(wǎng)絡(luò)上的這類漏洞?針對易受攻擊的無線標(biāo)準(zhǔn),我們已經(jīng)開發(fā)出一種通用的補(bǔ)救措施。
?
作者:是德科技高級研發(fā)工程師 Reza Soosahabi?