怎么實(shí)現(xiàn)LTE空口用戶面數(shù)據(jù)任意篡改漏洞分析

這期內(nèi)容當(dāng)中小編將會(huì)給大家?guī)?lái)有關(guān)怎么實(shí)現(xiàn)LTE空口用戶面數(shù)據(jù)任意篡改漏洞分析，文章內(nèi)容豐富且以專業(yè)的角度為大家分析和敘述，閱讀完這篇文章希望大家可以有所收獲。

0x00 漏洞背景

2020年6月27日GSMA CVD漏洞發(fā)布平臺(tái)公布了一個(gè)新的漏洞。獨(dú)角獸團(tuán)隊(duì)第一時(shí)間對(duì)該漏洞進(jìn)行了分析。

該漏洞由LTE標(biāo)準(zhǔn)中的缺陷引入，因?yàn)闆](méi)有使用強(qiáng)制性的用戶面數(shù)據(jù)的完整性保護(hù)，使得LTE鏈路上的數(shù)據(jù)可被篡改。例如可以篡改DNS請(qǐng)求和響應(yīng)。由于該攻擊發(fā)生于數(shù)據(jù)鏈路層，任何上層協(xié)議針對(duì)DNS可用的防護(hù)措施都將失效。唯一解決方案是修改LTE標(biāo)準(zhǔn)，目前3GPP正在研究如何修復(fù)該漏洞。

圖 1 GSMA CVD 披露

該漏洞是LTE協(xié)議標(biāo)準(zhǔn)漏洞，產(chǎn)生原因是LTE標(biāo)準(zhǔn)在制定時(shí)為了提高短報(bào)文帶寬利用率，對(duì)于用戶面的數(shù)據(jù)，空口層面僅僅啟用了加密，并沒(méi)有像控制面數(shù)據(jù)一樣，強(qiáng)制進(jìn)行完整性保護(hù)。

這使得通過(guò)對(duì)運(yùn)營(yíng)商LTE網(wǎng)絡(luò)中eNodeB與終端（手機(jī)等）之間的無(wú)線鏈路進(jìn)行擊，遠(yuǎn)程利用此漏洞，可以篡改用戶的IP數(shù)據(jù)報(bào)文，作者將這個(gè)漏洞命名為ALTER攻擊。威脅更大的是，可以在無(wú)線電波層面，對(duì)LTE用戶進(jìn)行DNS spoof攻擊。

關(guān)于LTE空口的用戶面與控制面

LTE的控制面用于傳輸信令，而數(shù)據(jù)面則用于傳輸用戶的業(yè)務(wù)數(shù)據(jù)，例如承載語(yǔ)音通話，網(wǎng)頁(yè)瀏覽的IP報(bào)文數(shù)據(jù)。

LTE中加密和完整性保護(hù)在PDCP層實(shí)現(xiàn)，下面兩個(gè)圖分別為L(zhǎng)TE空中接口（uu接口）控制面和用戶面PDCP層功能示意圖。

圖 2 LTE 控制面PDCP層功能示意圖

圖 3 LTE 用戶面 PDCP 層功能示意圖

對(duì)比這兩個(gè)圖，可以看到在LTE空中接口的控制面有加密和完整性保護(hù)，而在用戶面則只有加密。事實(shí)上這個(gè)用戶面加密在LTE標(biāo)準(zhǔn)中是可選的，當(dāng)然運(yùn)營(yíng)商在部署時(shí)通常都會(huì)啟用加密，但是該漏洞卻與是否加密沒(méi)有任何關(guān)系，問(wèn)題在于沒(méi)有使用完整性保護(hù)。

0x01 攻擊過(guò)程及原理

硬件平臺(tái)

圖 4 LTE 惡意中繼示意圖

實(shí)現(xiàn)這個(gè)攻擊核心組件是LTE中繼（Relay），即在運(yùn)營(yíng)商eNodeB和手機(jī)之間插入一個(gè)LTE惡意中繼，惡意中繼由一個(gè)偽eNodeB和一個(gè)偽UE（終端，類似手機(jī)）組成。下行鏈路中，運(yùn)營(yíng)商eNodeB給真實(shí)UE（用戶手機(jī)）發(fā)送的數(shù)據(jù)被偽UE接收，通過(guò)偽eNodeB發(fā)送給真實(shí)UE。上行鏈路中，真實(shí)UE給運(yùn)營(yíng)商eNodeB發(fā)送的數(shù)據(jù)則被偽eNodeB接收，通過(guò)偽UE發(fā)送給運(yùn)營(yíng)商的eNodeB。這樣所有真實(shí)UE與運(yùn)營(yíng)商之間的數(shù)據(jù)都會(huì)通過(guò)中繼。

實(shí)現(xiàn)原理

當(dāng)LTE網(wǎng)路啟用用戶面加密時(shí)，要發(fā)起攻擊，首先需要解決的是在空口上繞過(guò)加密算法，修改IP報(bào)文數(shù)據(jù)。

LTE加密原理

從常規(guī)思維看，分組對(duì)稱加密算法的密文只要被修改一個(gè)bit，會(huì)導(dǎo)致在解密時(shí)，分組中至少一半以上的bits放生變化，這是評(píng)價(jià)加密算法好壞的一個(gè)標(biāo)準(zhǔn)。從這個(gè)角度看，在LTE用戶面啟用加密時(shí)，似乎針對(duì)密文進(jìn)行修改，并不會(huì)帶來(lái)什么危害，數(shù)據(jù)頂多在惡意中繼那透明的通過(guò)，惡意中繼也無(wú)法解密，也無(wú)法受控的通過(guò)篡改密文達(dá)到修改明文的目的。然而這個(gè)思路對(duì)于流式加密并不適用，而LTE用戶面數(shù)據(jù)恰好采用的是流式加密。

圖 5 LTE 用戶面數(shù)據(jù)加密/解密示意圖

如圖所示，LTE 的流式加密過(guò)程中，秘鑰流生成器利用AS key等一系列的參數(shù)產(chǎn)生密鑰流，秘鑰流與明文流異或后得到密文c。解密時(shí)則用秘鑰流和密文流c異或得到明文m。

加密
Keystream XOR m = c;
解密
Keystream XOR c= m;

發(fā)送端和接收端使用相同的AES key 即相同的算法產(chǎn)生keystream。

2 繞過(guò)加密任意篡改數(shù)據(jù)包

圖 6 插入攻擊者之后的 LTE 用戶面數(shù)據(jù)加密/解密示意圖

上圖為插入攻擊者之后的LTE用戶面數(shù)據(jù)加解密示意圖，假定用特定的掩碼mask和密文流c異或的到密文流c’，解密的時(shí)候得到的明文流為m’。

這個(gè)過(guò)程可以描述為

mask XOR c = c’;
Keystream XOR c’ = m’;

經(jīng)過(guò)簡(jiǎn)單推導(dǎo)

Keystream XOR c’ XOR m = m’ XOR m;
Keystream XOR c’ XOR ( Keystream XOR c) = m’ XOR m;
Keystream XOR (Mask XOR c) XOR ( Keystream XOR c) = m’ XOR m;

可得到

Mask = m’ XOR m;

如果知道數(shù)據(jù)報(bào)文的原始明文，就可以得到篡改掩碼Mask。
而對(duì)于移動(dòng)數(shù)據(jù)網(wǎng)絡(luò)，同一個(gè)運(yùn)營(yíng)商，同一個(gè)區(qū)域的DNS一般是固定的，很容易得到，所以大致可以猜測(cè)出DNS數(shù)據(jù)包的明文。然而，要做到DNS spoof攻擊，只需要修改UE發(fā)送的DNS請(qǐng)求中的IP地址而已，而IP地址在PDCP數(shù)據(jù)包中的偏移也是固定的，這使得修改操作更容易?，F(xiàn)在遺留的問(wèn)題變?yōu)樵趺丛诒姸郟DCP幀中定位到DNS數(shù)據(jù)包。

3 定位DNS數(shù)據(jù)包

DNS請(qǐng)求數(shù)據(jù)一般比較短，可以嘗試通過(guò)長(zhǎng)度來(lái)區(qū)分，但是需要注意的是如何將同樣短的TCP SYN請(qǐng)求與DNS請(qǐng)求區(qū)分開來(lái)，作者通過(guò)大數(shù)據(jù)的方式，統(tǒng)計(jì)了移動(dòng)網(wǎng)絡(luò)中DNS請(qǐng)求的長(zhǎng)度分布，分布圖如下：

從這個(gè)圖中可以看到下行DNS請(qǐng)求回應(yīng)的長(zhǎng)度與PDCP其他幀的長(zhǎng)度有非常明顯的區(qū)分度，毫不費(fèi)力的可以區(qū)分出來(lái)，而對(duì)于上行的DNS請(qǐng)求，則可以通過(guò)猜測(cè)的方式，即對(duì)疑似DNS請(qǐng)求報(bào)文修改目標(biāo)IP地址到自己控制的惡意DNS服務(wù)器，觀察是否檢測(cè)到DNS請(qǐng)求回應(yīng)，如果收到回應(yīng)，則說(shuō)明修改的是一個(gè)DNS包，這個(gè)方法準(zhǔn)確率很高。

4 IP頭檢驗(yàn)和的處理

修改IP后，會(huì)導(dǎo)致IP包的校驗(yàn)和改變，這里還得處理校驗(yàn)和，這里作者使用了修改TTL去補(bǔ)償IP變動(dòng)以保證整個(gè)IP頭校驗(yàn)和不變的方法。我們知道TTL會(huì)隨著IP包經(jīng)過(guò)的路由逐跳減小。而對(duì)于上行鏈路空口截獲的IP包從UE出來(lái)之后顯然還沒(méi)有經(jīng)過(guò)任何路由，所以TTL還是默認(rèn)值，這個(gè)默認(rèn)值可以從UE操作系統(tǒng)的TCP/IP協(xié)議棧的默認(rèn)設(shè)置中得到。而對(duì)于下行鏈路，我們不知道IP報(bào)文從我們的惡意DNS服務(wù)器發(fā)出后經(jīng)過(guò)了多少路由，修改TTL補(bǔ)償校驗(yàn)和的方式行不通，這里作者通過(guò)修改IP頭中的標(biāo)識(shí)區(qū)域來(lái)做補(bǔ)償。

5 UDP校驗(yàn)和處理

對(duì)于上行鏈路，由于最終計(jì)算UDP校驗(yàn)和的程序顯然在攻擊者控制的惡意DNS服務(wù)器上，因此可以通過(guò)修改協(xié)議棧源碼的方式直接忽略。

對(duì)于下行鏈路，修改DNS服務(wù)器協(xié)議棧將UDP校驗(yàn)和直接設(shè)為0，DNS回應(yīng)依然有效。

到此校驗(yàn)和問(wèn)題解決。篡改LTE用戶面數(shù)據(jù)的坑已經(jīng)填完，整個(gè)攻擊的原理也闡述完畢。

0x02 威脅范圍

由于該漏洞由LTE標(biāo)準(zhǔn)引入，針對(duì)于所有從LTE 演變而來(lái)的其他網(wǎng)絡(luò)，例如NB-IoT,LTE-V，以及未來(lái)的5G（依然沒(méi)有啟動(dòng)強(qiáng)制性的用戶面完整性保護(hù)），都有影響。

與WIFI下的DNS spoof釣魚攻擊相比，LTE空口DNS spoof實(shí)現(xiàn)難度雖然要大得多，但攻擊范圍卻比WIFI要大，LTE攻擊并不需要像WIFI攻擊一樣，需要先破解預(yù)共享秘鑰，因此拋開實(shí)現(xiàn)難度問(wèn)題，成功率和覆蓋面都比WIFI下的釣魚攻擊要強(qiáng)，威脅也更大。

由于該攻擊發(fā)生于數(shù)據(jù)鏈路層，任何上層協(xié)議針對(duì)DNS可用的防護(hù)措施，例如DNSSEC，DTLS等在這里都將失效。唯一解決方案是修改LTE標(biāo)準(zhǔn)。目前已有部分運(yùn)營(yíng)商和設(shè)備商表示，要推動(dòng)LTE標(biāo)準(zhǔn)修復(fù)這個(gè)漏洞。

上述就是小編為大家分享的怎么實(shí)現(xiàn)LTE空口用戶面數(shù)據(jù)任意篡改漏洞分析了，如果剛好有類似的疑惑，不妨參照上述分析進(jìn)行理解。如果想知道更多相關(guān)知識(shí)，歡迎關(guān)注億速云行業(yè)資訊頻道。