ReVoLTE napad
Milijone ljudi po vsem svetu uporablja standard mobilne komunikacije LTE, ki poleg hitrega dostopa do interneta, nudi tudi paketno storitev VoLTE. Ta obljublja kakovost zvoka z visoko ločljivostjo. V ta namen VoLTE uporablja protokol za začetek seje (SIP), da signalizira tok klica, transportni protokol v realnem času (Real-Time Transport Protocol) za transport dejanskih zvočnih podatkov ter RTCP za nadzor RTP povezave.
Ekipa raziskovalcev, ki je v začetku leta odkrila kar nekaj kritičnih ranljivosti v 4G LTE in 5G omrežjih, je tokrat predstavila nov napad, ki napadalcem omogoča razbijanje enkripcije, ki se uporablja pri VoLTE klicih in tako omogoča prisluškovanje telefonskim klicem.
Napad ne izrablja pomanjkljivosti VoLTE protokola, ampak slabo implementirano mobilno omrežje LTE, saj večina operaterjev pogosto uporablja isti tok ključa (ang.key stream) za naslednji klic znotraj ene radijske povezave za šifriranje govornih podatkov med telefonom in bazno postajo. Napad tako izkorišča ponovno uporabo istega ključa s strani baznih postaj, kar potencialnim napadalcem omogoča, da dešifrirajo vsebino govornih klicev.
REVOLTE napadalcu omogoča, da dešifrira RTP paketke. V VoLTE nastavitvah se ta protokolna sporočila obravnavajo kot uporabniški podatki s posebnimi zahtevami za prenos. Dve značilnosti vplivata na prenos podatkov v klicu (večpredstavnostni kodeki – multimedia codecs in robustno stiskanje glave – robust header compression).
Za uspešno izveden napad mora biti napadalec povezan v isto bazno postajo kot žrtev in namestiti program za prestrezanje in prisluškovanje prometa, ki nadzira in posname ciljni klic, ki ga žrtev opravlja ter ga je pozneje treba dešifrirati. Ko žrtev zaključi klic, mora napadalec žrtev poklicati v roku približno 10 sekund, da omrežje sproži nov klic med žrtvijo in napadalcem na isti radijski povezavi kot prejšnji klic, saj napad izkorišča ponovno uporabo ključa, ki se je ustvaril med prejšnjim klicem. Ponovna uporaba ključnega toka se zgodi, ko ciljni in klicni tok uporabljata isti šifrirni ključ na ravni uporabniškega nivoja. V drugem delu mora napadalec žrtev vključiti v pogovor ter le tega posneti, kar bi mu kasneje pomagalo pri izračunu/pridobivanju ključnega toka, ki se uporablja za klic.
Vsi podatki RTP so šifrirani na enak način kot glasovni podatki ciljnega klica. Takoj, ko je bila ustvarjena zadostna količina ključnih podatkov, se klic prekliče. Vendar pa mora biti dolžina drugega klica večja ali enaka prvemu klicu, da se dešifrira vsak okvir, v nasprotnem primeru se dešifrira le del pogovora. Dlje, ko se napadalec pogovarja z žrtvijo, več vsebine prejšnje komunikacije lahko dešifrira.
Da bi dokazali napad, je skupina akademikov z univerze Bochum izvedla različico napada znotraj komercialne mreže z uporabo komercialnih telefonov. Ekipa je uporabila programsko opremo za prestrezanje in prisluškovanje šifriranega prometa in tri Android telefone, da bi pridobila podatke na telefonu napadalca, nato pa so primerjali dva posneta pogovora, določili šifrirni ključ in na koncu dešifrirali del prejšnjega klica.
Link: https://revolte-attack.net/media/revolte_camera_ready.pdf