Black Hat: Handover får den ellers sikre LTE-protokol til at afsløre din position

LTE-forbindelser har flere svagheder, der blandt andet gør det muligt for uvedkommende via IMSI-catchere at få fat i ofres position, har forskere påvist.

Aflytningsudstyr til mobiltelefoner, de såkaldte IMSI-catchere også kaldet falske basestationer, er i udgangspunktet rettet mod 3G- og 2G-forbindelser, hvor sidstnævnte lider under mangelfuld autentifikation mellem mobiltelefon og basestation. LTE er i udgangspunktet mere sikker, i hvert fald på papiret.

På den igangværende Black Hat-konference i Amsterdam kunne forskere fortælle, hvordan også 4G/LTE-forbindelser kan narres til at afgive alt for mange informationer, der afslører brugerens position med forholdsvis stor nøjagtighed.

Og er det også muligt at udføre deciderede DOS-angreb mod LTE-telefoner, der lukker og slukker for en 4G-telefons adgang i 72 timer. Ligesom det er muligt at få telefonen til at downgrade til at anvende de mindre sikre 2G/3G-opkoblinger.

De to forskere ved Aalto-universitetet i Finland har både kigget på den måde, operatørerne har implementeret LTE på, og på den måde, det fungerer i håndsættene. Og endeligt har de været igennem flere af de specifikationer, der ligger bag LTE-standarden.

LTE som udgangspunkt mere sikker end forgængere

Den ene af forskerne, Altaf Shaikh, fortalte hvordan LTE i udgangspunktet er mere sikker end sine forgængere, fordi 4G-forbindelserne forudsætter gensidig autentifikation. Det vil sige, at ikke alene skal mobilnettet godkende opkoblingen fra telefonen, men telefonen skal også godkende mobilnettet.

Sikkerhedsproblemerne i forhold til LTE opstår imidlertid, fordi ikke al trafik fra håndsættet, forudsætter autentifikation og bliver krypteret.

Forskerne kunne således berette, hvordan det eksempelvis er muligt via en falsk basestation at sende en reject-pakke, når en 4G-telefon befinder sig på et nyt net eller i et nyt område. Eksempelvis i forbindelse med roaming i udlandet.

Reject-pakken - som ikke kræver autentifikation - fortæller telefonen, at den ikke er velkommen på det nye net. Herefter er den uden opkobling i 72 timer eller indtil telefonen bliver genstartet.

»Problemet med disse beskeder er, at telefonen aldrig checker, om de kommer fra en rigtig basestation eller en falsk,« forklarede den ene af forskerne Ravishankar Borgaonkar.

På samme vis er det muligt at sende telefonen information om, at LTE slet ikke er understøttet på nettet. Herefter skifter den til 2G/3G-forbindelser, der er sårbare i forhold til de eksisterende IMSI-catcher-angreb.

»Hvis du ikke genstarter din telefon, så bliver den på 2G/3G for evigt,« sagde Ravishankar Borgaonkar.

Håndsæt udleverer GPS-position ved at give rette signaler

Et andet problem med 4G-forbindelserne og manglende kryptering i trafikken gør det muligt at lave positionering for uvedkommende på et potentielt offer.

For at understøtte handover, altså når telefonen skifter mellem celler, er det muligt at sende en pakke, så telefonen returnerer en liste med omkringliggende celler og dens signalstyrke til disse.

Via triangulering er det muligt at positionere håndsættet med en nøjagtighed på 10-15 meter, fortalte forskerne. En pakke, der får telefonen til at returnere sin position, kan sendes fra en afstand på 2 km.

»Rapporterne, der fortæller om telefonens omgivelser, de er ikke krypterede eller autentificerede,« fortalte Ravishankar Borgaonkar i et efterfølgende interview med Version2.

I forbindelse med positioneringsdata fandt forskerne frem til enkelte håndsæt, som slet og ret afgav deres GPS-position, når de modtog den rette signalering fra en basestation. Igen uden kryptering og uden autentifikation.

Ravishankar Borgaonkar ønskede ikke at oplyse, hvilke telefoner der sendte GPS-informationerne.

Men han fortalte, at blandt andet nødkaldstjenester, altså som 112, kan gøre brug af denne funktionalitet. Version2 er ikke bekendt med, hvorvidt de danske alarmcentraler sender forespørgsler til telefoner, der ringer, for at få fat i deres position. Enten via triangulering eller GPS.

Flere andre problemer

Forskerne pegede på flere andre problemer i den måde, 4G-telefonerne signalerer på. Blandt andet er det eksempelvis muligt at få en idé om, hvor et offer befinder sig, ved at sende masse data til en telefon og derefter passivt lytte med på signaleringstrafikken.

For at komme flere af problemerne til livs, så skal der både rettes i standarder, netværk og telefoner. Og det har lidt længere udsigt.

»Arbejdet pågår, de er ved at fixe standarder, og så tager folk standarderne og implementerer det i deres kode. Så det er en lang proces,« sagde Ravishankar Borgaonkar til Version2 uden at komme med et nærmere tidsestimat.

Han fortalte desuden, forskerne på baggrund af deres arbejde er blevet kontaktet af dem, der producerer IMSI-catchere, altså de falske basestationer. Producenterne ville gerne høre nærmere.

»De spurgte, om vi kunne dele vores resultater [med dem].«

Ender I med at hjælpe de forkerte med jeres forskning?

»Vi hjælper ikke. Vi har fortalt alle, at de skal fixe det. Vi har været ansvarlige og fortalt alle om problemet.«

Flere interessenter har givet forskerne en tilbagemelding, men særligt håndsæt-producenterne har ikke ladet høre fra sig eller på anden vis givet udtryk for, at de ville opdatere deres telefoner.

Vejlederen på forskningsarbejdet, professor ved Department of Computer Science and Engineering ved Aalto-universitetet N. Asokan bemærker afslutningsvis over for Version2, at en del af elementerne, der muliggør flere af de potentielt privacy-krænkende angreb, bunder i tradeoff-beslutninger i forbindelse med designet af standarder.

Forstået som, at der også er tale om bevidste designvalg og ikke kun fejl.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (0)
Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017