Los piratas informáticos pueden escuchar a escondidas llamadas de teléfonos móviles utilizando dispositivos valorados en $ 7.000


  Los piratas informáticos pueden espiar llamadas de teléfonos móviles con dispositivos valorados en 7.000 dólares.

El advenimiento de las llamadas de voz móviles a través del estándar conocido como Long Term Evolution ha sido una bendición para millones de usuarios de teléfonos móviles en todo el mundo. VoLTE, abreviatura de Voice over LTE, ofrece hasta tres veces más capacidad que el estándar 3G anterior, lo que resulta en una calidad de sonido de alta resolución que es una gran mejora con respecto a las generaciones anteriores. VoLTE también usa el mismo estándar de IP que se usa para enviar datos a través de Internet para que pueda funcionar con una mayor cantidad de dispositivos. VoLTE hace todo esto mientras proporciona un nivel de seguridad no disponible en tecnologías celulares anteriores.

Ahora los investigadores han demostrado una debilidad que permite a los atacantes con recursos modestos escuchar las llamadas. Su técnica, conocida como ReVoLTE, utiliza una radio definida por software para transmitir la señal que la estación base de un operador de red envía a un teléfono de la elección del atacante, siempre que el atacante esté conectado a la misma torre celular (generalmente entre unos pocos cientos de metros y unos pocos kilómetros) y conoce el número de teléfono. Debido a un error en la implementación de VoLTE por parte de muchos operadores de red, el ataque convierte los datos cifrados criptográficamente en sonido sin cifrar. El resultado es una amenaza para la privacidad de un segmento creciente de usuarios de teléfonos móviles. El costo: alrededor de $ 7,000.

Tanto para más seguridad

"La confidencialidad de los datos es uno de los objetivos centrales de seguridad de LTE y un requisito básico para la confianza en nuestra infraestructura de comunicación", dijeron los investigadores de la Universidad de Ruhr en Bochum y la Universidad de Nueva York, Artículo presentado en el 29º Simposio de Seguridad de USENIX el miércoles. "Introdujimos el ataque ReVoLTE, con el cual un adversario puede interceptar y restaurar llamadas VoLTE cifradas basándose en un error de implementación del protocolo LTE".

VoLTE cifra los datos de las llamadas cuando pasan entre un teléfono y una estación base. A continuación, la estación base descifra el tráfico para que pueda reenviarse a una parte de una red celular con conmutación de circuitos. La estación base en el otro extremo luego encripta la llamada cuando se envía a la otra parte.

La falla de implementación que explota ReVoLTE es la tendencia de las estaciones base a usar el mismo material criptográfico para encriptar dos o más llamadas cuando se realizan en sucesión cercana. El ataque detecta esta falla al capturar el tráfico de radio encriptado de la llamada a un objetivo que los investigadores están llamando el objetivo o la primera llamada. Cuando finaliza la primera llamada, el atacante inicia rápidamente lo que se conoce como una llamada de flujo de claves al objetivo, mientras detecta el tráfico encriptado y graba el audio no encriptado comúnmente conocido como texto sin formato.

Los investigadores lo describieron de la siguiente manera:

El ataque consta de dos fases principales: la fase de grabación, en la que el oponente registra la llamada objetivo de la víctima, y ​​la fase de llamada con una llamada posterior a la víctima. Para la primera fase, el adversario debe poder olfatear las transmisiones de la capa de radio en la dirección del enlace descendente, lo que es posible con hardware asequible por menos de USD 1.400 [1]. Además, el oponente puede decodificar el tráfico grabado hasta los datos de cifrado (PDCP) si ha aprendido la configuración de radio del eNodeB objetivo. Sin embargo, nuestro modelo de atacante no requiere que la víctima tenga material clave válido. La segunda fase requiere un teléfono comercial listo para usar (COTS) y el conocimiento del número de teléfono de la víctima, así como su ubicación actual (es decir, el celular).

El atacante luego compara el tráfico cifrado y el tráfico de texto sin formato de la segunda llamada para derivar los bits criptográficos que se utilizan para cifrar la llamada. Tan pronto como el atacante tiene este llamado "flujo de claves", lo utiliza para restaurar el texto sin formato de la llamada de destino.

"Los ataques ReVoLTE utilizan la reutilización del mismo flujo de claves para dos llamadas posteriores dentro de un enlace de radio", escribieron los investigadores en una publicación que explicaba el ataque. "Esta debilidad es causada por un error de implementación en la estación base (eNodeB)".

La siguiente figura muestra los pasos, y el video debajo de la figura muestra ReVoLTE en acción:

Rupprecht et al.

Demostración del ataque ReVoLTE en una red comercial LTE.

Limitado, pero útil en el mundo real.

ReVoLTE tiene sus límites. Matt Green, profesor de la Universidad Johns Hopkins que se especializa en criptografía, explicó que las limitaciones del mundo real, incluidos los códecs específicos utilizados, las ambigüedades en la transcodificación de audio codificado y la compresión de los encabezados de los paquetes, pueden dificultar la comprensión completa Datos para recibir texto sin formato digital de una llamada. Sin el texto sin formato, el ataque de descifrado no funcionará. También dijo que las llamadas de flujo de claves deben realizarse dentro de los 10 segundos posteriores a la finalización de la llamada de destino.

Además, la cantidad de la llamada de destino que se puede descifrar depende de la duración de la llamada de flujo de claves. Una llamada de flujo de claves que dura solo 30 segundos solo proporcionará suficiente material de flujo de claves para restaurar 30 segundos de la llamada de destino. ReVoLTE tampoco funcionará si las estaciones base siguen el estándar LTE, que prescribe la reutilización de flujos de claves. Y como ya se mencionó, el atacante debe estar dentro del alcance de radio de la misma torre celular que el objetivo.

A pesar de las limitaciones, los investigadores pudieron restaurar el 89 por ciento de las conversaciones que escucharon, una hazaña que muestra que ReVoLTE es eficaz en entornos del mundo real siempre que las estaciones base implementen LTE incorrectamente. El equipo requerido incluye (1) teléfonos estándar que se conectan a redes celulares y registran el tráfico, y (2) radio del software Airscope estándar para decodificar el tráfico de enlace descendente LTE en tiempo real.

"Un adversario debe invertir menos de $ 7,000 para crear una configuración con la misma funcionalidad y, en última instancia, la capacidad de descifrar el tráfico de enlace descendente", escribieron los investigadores. “Si bien nuestro enlace descendente ReVoLTE ya es factible, un oponente más exigente puede mejorar la eficiencia del ataque expandiendo la configuración con un rastreador de enlace ascendente, p. Ej. B. el WaveJudge5000 de SanJole, donde podemos explotar el mismo vector de ataque y acceder a ambas direcciones al mismo tiempo. “

¿Soy vulnerable?

En las pruebas iniciales, los investigadores encontraron que 12 de las 15 estaciones base seleccionadas al azar en Alemania reutilizaban los flujos de claves, haciendo que todas las llamadas VoLTE transmitidas a través de ellas fueran vulnerables. Después de que se informaron los resultados al grupo de la industria Sistema Global para Aplicaciones Móviles, una nueva prueba encontró que las aerolíneas alemanas en cuestión habían reparado sus estaciones base. Con más de 120 proveedores en todo el mundo y 1200 tipos diferentes de dispositivos compatibles con VoLTE, es probable que lleve más tiempo eliminar por completo el error.

"Sin embargo, tenemos que considerar una gran cantidad de proveedores en todo el mundo y sus grandes intereses", escribieron los investigadores. "Por tanto, es fundamental crear conciencia sobre la vulnerabilidad".

Los investigadores han publicado una aplicación de Android que se puede utilizar para probar si una conexión de red es vulnerable. La aplicación requiere un dispositivo rooteado que admita VoLTE y ejecute un chipset Qualcomm. Desafortunadamente, estos requisitos dificultarán el uso de la aplicación para la mayoría de las personas.

Envié un correo electrónico a AT&T, Verizon y Sprint / T-Mobile si alguna de sus estaciones base era susceptible a ReVoLTE. Hasta ahora ninguno de ellos ha respondido. Esta publicación se actualizará si las respuestas llegan más tarde.

“Totally Devastating”

ReVoLTE se basa en un informe de investigación histórico publicado en 2018 por científicos informáticos de la Universidad de California en Los Ángeles. Descubrieron que los datos LTE a menudo se encriptaban utilizando el mismo flujo de claves más de una vez. Mediante el uso de la llamada operación XOR para los datos cifrados y el tráfico de texto sin formato correspondiente, los investigadores pudieron generar un flujo de claves. Con eso en mente, descifrar los datos de la primera llamada fue trivial.

La siguiente figura muestra cómo ReVoLTE hace esto:

Rupprecht et al.

"Con la llamada de keystream, el atacante puede extraer el keystream haciendo XOR del tráfico de datos olfateados con la llamada de keystream en texto plano", explicaron los investigadores de ReVoLTE. “El bloque de flujo de claves se utiliza para descifrar el texto cifrado de destino capturado correspondiente. Por lo tanto, el atacante calcula el texto sin formato de la llamada objetivo. "

Si bien ReVoLTE se aprovecha de la implementación incorrecta de LTE, Green de Johns Hopkins dijo que parte de la falla radica en la opacidad del estándar en sí, una falla que le gusta" rogar a los niños pequeños que no jueguen con un arma " . "

" Inevitablemente harán eso, y sucederán cosas terribles ", escribió. “En este caso, el cañón de descarga es un ataque de reutilización de keystream donde dos mensajes diferentes son XORed con los mismos bytes de keystream. Se sabe que la confidencialidad de los mensajes es extremadamente devastadora. “

Los investigadores brindan varias sugerencias que los operadores inalámbricos pueden seguir para corregir el problema. Eso, por supuesto, significa no reutilizar el mismo flujo de claves, pero resulta que no es tan fácil de hacer como parece. Una contramedida a corto plazo es aumentar el número de las denominadas identidades de portadores de radio. Sin embargo, dado que solo hay un número limitado de estos, los portadores también deberían utilizar traspasos entre células. Por lo general, estas transferencias permiten que un teléfono permanezca conectado cuando se transfiere de una celda a otra. Una evitación integrada de la reutilización de claves también hace que el método sea útil para la seguridad.

"[As] Como solución a largo plazo, recomendamos especificar el cifrado de medios obligatorio y la protección de integridad para VoLTE", escriben los investigadores. “Esto proporciona una mitigación a largo plazo de problemas conocidos como: B. la reutilización de claves y la falta de protección de la integridad en la capa de radio e introduce un nivel adicional de seguridad. "

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *