LTE Phone Number Catcher: un Attacco Pratico alla Privacy dei Dispositivi Mobili

Astratto

Il numero di telefono è un codice identificativo univoco di un abbonato mobile, che svolge un ruolo più importante nella vita del social network mobile rispetto a un altro numero di identificazione IMSI. A differenza dell'IMSI, un dispositivo mobile non trasmette mai il proprio numero di telefono alla rete nella radio. Tuttavia, la rete mobile può inviare il numero di telefono di un utente a un altro terminale mobile quando questo utente avvia una chiamata o un servizio SMS. Sulla base dei fatti di cui sopra, con l'aiuto di un catcher IMSI e di un attacco 2G man-in-the-middle, questo documento ha implementato un prototipo di rilevatore di numeri di telefono praticabile ed efficace rivolto ai telefoni cellulari LTE. Abbiamo rilevato il numero di telefono dell'utente LTE pochi secondi dopo che il dispositivo si è accampato sulla nostra stazione canaglia. Questo documento intende verificare che la privacy mobile sia anche abbastanza vulnerabile anche nelle reti LTE fintanto che esiste ancora il GSM legacy. Inoltre, abbiamo dimostrato che chiunque abbia competenze di programmazione di base e la conoscenza delle specifiche GSM / LTE può facilmente costruire un rilevatore di numeri di telefono utilizzando strumenti SDR e dispositivi commerciali standard. Pertanto, ci auguriamo che gli operatori di tutto il mondo possano disattivare completamente le reti mobili GSM nelle aree coperte da reti 3G e 4G il prima possibile per ridurre la possibilità di attacchi alle reti cellulari di generazione superiore. Vengono anche discusse diverse potenziali contromisure per difendere temporaneamente o permanentemente l'attacco. ci auguriamo che gli operatori di tutto il mondo possano disattivare completamente le reti mobili GSM nelle aree coperte da reti 3G e 4G il prima possibile per ridurre la possibilità di attacchi alle reti cellulari di generazione superiore. Vengono anche discusse diverse potenziali contromisure per difendere temporaneamente o permanentemente l'attacco. ci auguriamo che gli operatori di tutto il mondo possano disattivare completamente le reti mobili GSM nelle aree coperte da reti 3G e 4G il prima possibile per ridurre la possibilità di attacchi alle reti cellulari di generazione superiore. Vengono anche discusse diverse potenziali contromisure per difendere temporaneamente o permanentemente l'attacco.

1. Introduzione

5G / NR (New Radio), che ha guidato molte nuove tecnologie come l'edge computing [ 1 ], ora è stato progettato per sostituire gradualmente le attuali reti mobili, come 4G / LTE (Long Term Evolution), 3G / UMTS (Universal Mobile Telecommunications System) e 2G / GSM (Global System for Mobile Communications), ma questi residui saranno ancora ampiamente utilizzati per un periodo piuttosto lungo a causa delle enormi infrastrutture di rete mobile esistenti e dei terminali 2G / 3G / 4G attualmente, proprio come 2G e Il 3G coesiste da molti anni con le reti 4G. Pertanto, è ancora un lavoro necessario e significativo studiare e risolvere i problemi di sicurezza e privacy nelle reti cellulari di bassa generazione (rispetto al 5G).

Il sistema di comunicazione mobile 2G ha molti problemi di sicurezza e privacy a causa dei suoi difetti intrinseci nelle specifiche tecniche, ad esempio, mancanza di autenticazione reciproca tra MS (Mobile Station) e le reti, difficoltà ad aggiornare i deboli algoritmi crittografici e MS si accampa sempre la cella con la potenza del segnale radio più forte. I malintenzionati possono facilmente configurare false stazioni base, note come rilevatori IMSI (International Mobile Subscriber Identity), per falsificare gli IMSI e IMEI (International Mobile Equipment Identity) degli utenti, tracciare le loro posizioni e persino intercettare le loro chiamate e brevi messaggi utilizzando il attacchi man-in-the-middle (MITM). 3G / UMTS e 4G / LTE sono stati progettati per garantire sufficientemente la sicurezza e la riservatezza, che motivano sia a utilizzare un meccanismo di crittografia molto più forte che l'autenticazione reciproca. Comunque, con l'aiuto degli strumenti software radio open source accessibili, gli addetti alla sicurezza wireless hanno rivelato sempre più vulnerabilità di sicurezza e privacy nelle reti mobili LTE come difetti di protocollo e difetti di implementazione. Uno dei potenziali difetti del protocollo in LTE è che l'UE (User Equipment) può accettare ed elaborare alcuni messaggi di segnalazione prima che venga stabilito il contesto di sicurezza, secondo la specifica 3GPP (Third Generation Partnership Project) [2 ], che può essere sfruttato dagli stakeholder per attaccare sia gli UE che le reti. Ad esempio, il messaggio Identity Request NAS (Non-Access Stratum) è un abilitatore per i catcher IMSI, mentre i messaggi Attach Reject and Tracking Area Update ( TAU ) Reject vengono utilizzati per eseguire attacchi DoS (Denial of Service) sui terminali mobili. In questo documento, abbiamo utilizzato il messaggio RRCConnectionRelease non crittografato e non protetto da integrità per reindirizzare i telefoni cellulari LTE per avviare il processo di rilevamento del numero di telefono.

Il numero di telefono, noto nella terminologia MSISDN (Mobile Subscriber ISDN Number), è un'importante privacy individuale di un abbonato mobile che è progettato per identificare gli utenti nella nostra vita reale, in particolare nella vita del social network mobile. Secondo le specifiche, il dispositivo mobile non invia il proprio numero di telefono alla rete nella radio. Pertanto, i tradizionali catcher IMSI possono ottenere l'IMSI / IMEI dall'apparecchiatura mobile dell'utente solo inviando il messaggio di segnalazione Identity Requeste difficilmente falsificare il numero di telefono. Esiste una regola di mappatura univoca che nessuno conosce tra l'IMSI e l'MSISDN, perché tutte le informazioni sull'identità dell'abbonato e le relazioni di mappatura sono memorizzate solo nelle carte USIM (Universal Subscriber Identity Module) e nel database dell'operatore in cui entrambi i luoghi sono pubblicamente riconosciuto per essere fortemente sicuro. Le reti dell'operatore tradurranno l'IMSI nell'MSISDN nella rete principale quando forniscono agli utenti servizi di chiamata o SMS (Short Message Service), fatto che è stato sfruttato per implementare il nostro rilevatore di numeri di telefono LTE.

In questo documento, abbiamo elaborato un modello di rilevamento del numero di telefono che mira a raccogliere gli MSISDN degli utenti LTE. Abbiamo anche dimostrato che il ricevitore del numero di telefono può essere facilmente impostato utilizzando gli strumenti SDR (Software-Defined Radio) disponibili e dispositivi commerciali standard che richiedono solo abilità di codifica di base e la conoscenza delle specifiche GSM / LTE. Siamo il primo rilevatore di numeri di telefono che si rivolge ai telefoni cellulari LTE e completamente implementato da SDR. I risultati sperimentali hanno mostrato che potremmo rilevare il numero di telefono di un dispositivo LTE in pochi secondi una volta che il dispositivo vittima si è accampato sulla nostra falsa stazione. Lo scopo del nostro lavoro è confermare che anche la sicurezza e la privacy LTE possono essere piuttosto vulnerabili fintanto che esiste ancora il GSM legacy. Quindi,

2. Sfondo

2.1. Reti di comunicazione mobile

Le reti di comunicazione mobile svolgono un ruolo importante in molti scenari della nostra vita; ad esempio, possono essere molto utili nel processo di soccorso in caso di catastrofe quando cooperano con altre tecnologie avanzate [ 3 ]. Negli ultimi decenni, il sistema di rete di comunicazione mobile è variato davvero molto e sono apparsi molti sistemi di comunicazione illustri dalla prima generazione (1G) all'ultimo 5G. 4G / LTE e 2G / GSM sono due sistemi di comunicazione wireless moderni importanti e ampiamente utilizzati tra loro. In questo documento, anche il nostro modello di rilevamento del numero di telefono LTE si basa sui due sistemi mobili. Quindi ora descriviamo brevemente le loro strutture di rete e concetti di base che sono utili per la comprensione del documento successivo.

2.1.1. Sistema globale per comunicazioni mobili

Global System for Mobile Communications (GSMs) è il primo sistema di comunicazione mobile che utilizza la tecnologia di comunicazione digitale invece dell'analogico che ha notevolmente ridotto le dimensioni del corpo dei terminali mobili. La struttura generale della rete GSM è mostrata nella Figura 1 . Ci sono molti diversi componenti in una tipica rete GSM, che sono MS, BTS (Base Transceiver Station), BSC (Base Station Controller), MSC (Mobile Switching Center) e i database (HLR / VLR / AuC / EIR) [ 4 ]. L'MS può essere un telefono cellulare o un altro terminale mobile con una scheda SIM inserita. La scheda SIM memorizza le informazioni IMSI e MSISDN dell'abbonato che miriamo a catturare. Le stesse informazioni sull'identità e la loro relazione di mappatura esistono anche nel database dell'operatore.

2.1.2. Evoluzione a lungo termine

I sistemi Long Term Evolution (LTE) sono i sistemi di comunicazione mobile più diffusi in tutto il mondo non solo per la maggiore velocità di accesso e la minore latenza, ma anche per lo schema di sicurezza e privacy migliorato per gli utenti. La rete mobile LTE basata su IP ha una struttura piatta e molto più semplice rispetto al GSM. La figura 2 mostra i protocolli di interfaccia tra le unità di rete e due sezioni principali della struttura della rete LTE: EUTRAN (Evolved Universal Terrestrial Radio Access Network) e EPC (Evolved Packet Core), ognuna delle quali comprende diverse suddivisioni.

L'UE LTE contenente una scheda USIM è l'obiettivo del nostro esperimento. L'eNodeB (Evolved Node B) si riferisce alla stazione base che comunica con gli UE utilizzando collegamenti radio e inoltra i messaggi NAS all'MME (Mobility Management Entity) che è responsabile dell'autenticazione e dell'allocazione delle risorse agli UE. HSS (Home Subscriber Server) è il database dell'operatore che memorizza le informazioni di autenticazione e altri importanti dati di sottoscrizione degli abbonati.

2.1.3. Codici di identità

I codici identità sono ampiamente utilizzati nelle reti mobili tra i lati UE e rete, come il numero IMSI, MSISDN, TAC e PLMN che è apparso nel nostro esperimento successivo:(io)IMSI . International Mobile Subscriber Identity è un'identificazione univoca globale per la carta USIM dell'abbonato inserita nell'UE. È stato ampiamente utilizzato nei sistemi di comunicazione cellulare sin dalla nascita della rete mobile di prima generazione. Viene trasmesso alla rete in testo normale quando la UE inizia per la prima volta una procedura di collegamento dopo l'accensione del dispositivo mobile, o quando la UE riceve un messaggio NAS di richiesta di identità dalla rete centrale.(ii)MSISDN . Il numero ISDN (Integrated Services Digital Network) dell'abbonato mobile, noto anche come numero di telefono, viene utilizzato per identificare un utente specifico. Svolge un ruolo importante nella vita dei social network mobili; ad esempio, lo utilizziamo per registrare account social su diverse app mobili. Nessuno conosce la regola di mappatura tra l'IMSI e l'MSISDN di un utente mobile, tranne la scheda USIM e l'operatore. L'UE non invia mai il proprio MSISDN alla rete nella radio, ma il lato della rete può trasmettere il numero di telefono dell'UE a un altro dispositivo mobile durante il servizio di avvio dell'UE, perché gli operatori di rete mobile tradurranno l'IMSI dell'UE in MSISDN secondo la mappatura regola nelle reti principali per fornire il servizio ID chiamante.(iii)PLMN . Il codice Public Land Mobile Network è composto da MCC (Mobile Country Code) e MNC (Mobile Network Code), che identifica la particolare rete mobile di un operatore in un paese, ad esempio, un numero PLMN di China Mobile è 46000.(iv)TAC . Tracking Area Code è un identificatore per una determinata area geografica e tutti gli eNodeB e le celle situate nell'area possiedono lo stesso TAC.

2.2. Radio definita dal software

Software-Defined Radio (SDR) è un sistema di comunicazione wireless in cui i componenti sono implementati completamente dal software su un personal computer generico o un sistema embedded piuttosto che sull'hardware [ 5 ]. SDR è diventato lo strumento di analisi e test per tipi di sistemi di comunicazione mobile grazie alla sua modificabilità e flessibilità negli ultimi anni. Nel frattempo, sono stati sviluppati molti dei progetti open source. Tali progetti di successo come srsLTE e OAI (OpenAirInterface) [ 6 ] per LTE, OpenBSC e OpenBTS per GSM hanno implementato la maggior parte delle funzioni e degli stack di protocolli della corrispondente rete di accesso radio. Di seguito sono riportati i progetti open source che vengono utilizzati nel nostro lavoro:(io)srsLTE . Sistemi radio software LTE è una libreria open source LTE ad alte prestazioni per applicazioni radio definite da software [ 7 ]. Queste applicazioni, tra cui srsUE, srsENB, srsEPC, sono completamente compatibili con LTE Release 8 che ci fornisce un'eccellente piattaforma di sperimentazione LTE. Usiamo questo software per costruire una rete LTE non autorizzata per reindirizzare il telefono LTE di destinazione alla nostra rete GSM non autorizzata implementata da OpenBSC.(ii)OpenBSC . OpenBSC è un progetto GSM open source della comunità Osmocom (Open Source Mobile Communication), nota come raccolta di progetti software open source nell'area delle comunicazioni mobili. OpenBSC mira ad essere un sistema di implementazione stabile e all-in-one di OsmoBSC, OsmoMSC e OsmoHLR per gli stack e gli elementi del protocollo GSM / 3GPP [ 8 ].(iii)OsmocomBB . È anche un'implementazione del software GSM Baseband open source e gratuita della comunità Osmocom. I radioamatori possono effettuare e ricevere telefonate, inviare e ricevere SMS utilizzando OsmocomBB su un telefono GSM compatibile come MotorolaC118, utilizzato come MS dannoso nel nostro esperimento [ 9 ].

OpenBSC e srsLTE sono entrambi compatibili con il dispositivo standard USRP (Universal Software Radio Peripheral) di Ettus Research [ 10 ]. Quindi abbiamo scelto due USRP B210 per configurare il nostro eNodeB e BTS. In breve, il nostro rilevatore di numeri di telefono LTE è un intero sistema SDR che esegue srsLTE e OpenBSC open source con USRP, OsmocomBB con un telefono GSM, per raggiungere l'obiettivo principale di raccogliere numeri di telefono in un'area ristretta.

2.3. Lavoro correlato

I primi attacchi MITM nel sistema di comunicazione mobile GSM sono emersi insieme a un ricevitore IMSI [ 11 ]. Successivamente, la sicurezza e la privacy della rete GSM si sono trovate di fronte a una situazione più grave. La comunicazione mobile 4G / LTE è stata considerata notevolmente più sicura dei suoi predecessori, GSM e UMTS. Tuttavia, con l'ampia disponibilità di strumenti open source per varie sperimentazioni, un numero crescente di sicurezza e la privacy delle vulnerabilità esistenti in LTE [ 12 - 17 ], come ad esempio attacchi DoS e perdite di privacy, sono stati scoperti dai ricercatori negli ultimi anni. Shaik et al. ha dimostrato che un aggressore attivo può localizzare con precisione un dispositivo LTE utilizzando una stazione canaglia LTE [ 17]. Jover ha sfruttato i protocolli LTE non crittografati e non protetti da integrità, ad esempio, Allega messaggi di rifiuto e TAU Reject, e ha scoperto le vulnerabilità di negare il servizio a un dispositivo LTE e declassarlo alla rete GSM più insicura [ 14 ]. Sia Shaik che Jover hanno dimostrato che il ricevitore IMSI può essere efficace anche costruendo un eNodeB canaglia LTE nella rete mobile LTE oltre che nelle reti 2G e 3G. Mjølsnes e Olimid hanno verificato che il catcher LTE IMSI può essere implementato da radio software-defined a basso costo senza alcuna programmazione [ 15 ]. Hussain et al. ha proposto un approccio sistematico per scoprire 10 nuovi attacchi contro la sicurezza, la privacy e la disponibilità LTE e ne ha convalidato la maggior parte [ 12 ].

Il primo rilevatore di numeri di telefono è stato implementato nella rete GSM pura da Song et al. utilizzando una scheda hardware personalizzata [ 18 ], che non funzionava in LTE. A differenza degli attacchi di cui sopra, i nostri esperimenti hanno dimostrato che il numero di telefono dell'abbonato LTE può essere rilevato anche in base ai sistemi di rete mobile dell'operatore esistente.

3. Modello LTE Phone Number Catcher

L'architettura del modello LTE phone number catcher è costituita da due sottomoduli principali, il Redirector LTE e il modulo GSM Middle-Man, come illustrato nella Figura 3 .

3.1. Redirector LTE

LTE Redirector è in realtà una Rogue LTE Network (RLN) implementata eseguendo codici open source, srsENB e srsEPC, su un singolo computer laptop con un USRP B210 collegato tramite USB 3.0. L'obiettivo più importante di questa parte è reindirizzare la vittima UE che cerca di accamparsi sulla RLN alla nostra rete GSM Middle-Man. Inoltre, possiamo anche utilizzare questo modulo come catcher IMSI LTE per raccogliere IMSI nell'area del redirector LTE. Abbiamo apportato alcune modifiche ai codici sorgente di srsENB e srsEPC per raggiungere con successo gli obiettivi di cui sopra.

3.2. Middle-Man GSM

Il modulo GSM Middle-Man è un tipico attacco 2G / GSM MITM che viene implementato anche da SDR nel nostro lavoro. È composto da una Rogue GSM Network (RGN), un MS dannoso e un visualizzatore di numeri di telefono. L'RGN esegue OpenBSC su un computer desktop anche con un USRP B210 e il MS dannoso viene eseguito eseguendo i codici OsmocomBB progettati sullo stesso computer desktop e su un MotorolaC118. L'RGN comunica con il maligno MS tramite presa di rete [ 19 ]. Il visualizzatore del numero di telefono è, in sostanza, un telefono cellulare generico per ricevere una chiamata o un SMS dal telefono LTE della vittima e visualizzare il numero di telefono della vittima.

Una volta che un telefono LTE viene reindirizzato all'RGN in uno specifico ARFCN (Absolute Radio Frequency Channel Number) [ 20 ], l'RGN catturerà l'IMSI / IMEI dell'UE e informerà il MS malintenzionato di mascherarsi come questa vittima UE per avviare un IMSI- digitare Location Update Request ( LUR ) alla rete GSM dell'operatore, e dopo l'autenticazione e la procedura LUR , il MS malintenzionato effettua una chiamata o invia un SMS al visualizzatore del numero di telefono per catturare finalmente il numero di telefono dell'UE vittima.

3.3. Processo di Segnalazione del Modello

Un intero processo di segnalazione del modello di rilevamento del numero di telefono può essere semplificato nella Figura 4 . Poiché il nostro modello catcher prevede molte procedure complesse dei protocolli di rete 4G / LTE e 2G / GSM, ci limitiamo ad elencare le principali segnalazioni in ciascuna procedura.

Quando il sistema di rilevamento del numero di telefono è attivato, l'RLN trasmetterà continuamente le informazioni di sistema della cella falsa a un dato EARFCN [ 21 ]. Una volta che un UE LTE attorno alla nostra stazione falsa riceve queste informazioni importanti, tra cui MCC, MNC e TAC, tramite messaggi MasterInformationBlock ( MIB ) e SystemInformationBlock ( SIB ) e la nostra cella falsa soddisfa i criteri di riselezione delle celle in LTE [ 22 ], l'UE avvierà un aggiornamento dell'area di monitoraggio al nostro RLN. Quando il falso EPC riceve una richiesta TAU, può falsificare l'IMSI dell'UE della vittima inviandogli la richiesta di identitàmessaggio prima di reindirizzare l'UE alla falsa stazione GSM o reindirizzare direttamente l'UE vittima alla nostra rete GSM progettando il componente redirectedCarrierInfo nel messaggio RRCConnectionRelease . Il redirectedCarrierInfo indica una frequenza portante e viene utilizzato per reindirizzare gli UE a un'altra RAN (Radio Access Network), ad esempio GSM [ 23 ].

Dopo che l'UE della vittima ha effettuato l'accesso alla nostra rete GSM e ha avviato una procedura LUR , inviamo il messaggio di richiesta di identità alla UE della vittima e otteniamo l'IMSI della vittima nel messaggio di risposta dell'identità . Quindi, lo Stato membro malintenzionato verrà informato dell'IMSI dell'UE della vittima e avvierà un LUR di tipo IMSI alla rete GSM dell'operatore utilizzando l'IMSI della vittima. Si prevede che l'MS malintenzionato riceverà un messaggio di richiesta di autenticazione contenente il parametro di autenticazione ( Rand ) dalla rete GSM commerciale e lo consegnerà all'RGN. L'RGN quindi autentica la vittima UE utilizzando il Rand ricevente e ottiene lo SRESdalla vittima UE nel messaggio di risposta di autenticazione. Infine, lo MS malintenzionato utilizza questo SRES per rispondere all'autenticazione dell'operatore e completa la procedura LUR dopo aver ricevuto il messaggio di accettazione aggiornamento posizione contenente il TMSI (Temporary Mobile Subscriber Identity) che la rete GSM dell'operatore gli ha assegnato. In questo momento, il malintenzionato MS può effettuare una chiamata o inviare un SMS al visualizzatore MSISDN utilizzando la rete GSM commerciale. Il visualizzatore riceve la chiamata o l'SMS e ottiene il numero di telefono dell'UE vittima.

4. Configurazione sperimentale

In questa sezione, presentiamo la configurazione sperimentale del nostro modello di rilevamento del numero di telefono che include sia la parte hardware che il software. I dispositivi e le apparecchiature dei sistemi di comunicazione tradizionali di solito avevano corpi enormi ed erano anche estremamente costosi. Tuttavia, la cosa più fastidiosa per un ricercatore di sistemi di comunicazione radio o un dilettante è che difficilmente potrebbero conoscere i codici sorgente in esecuzione sui dispositivi. Fortunatamente, la tecnologia SDR e il modulo hardware standard a basso costo hanno illuminato queste persone.

4.1. Hardware

Tutti i dispositivi hardware utilizzati per il nostro esperimento sono facilmente accessibili dal mercato commerciale. La Figura 5 mostra la configurazione sperimentale dell'hardware nel nostro lavoro (esclusi i cavi dati USB).

4.1.1. Computer

Nell'esperimento sono stati utilizzati un computer desktop (Gigabyte B85M-D3H i5-4430 CPU@3.00 GHz × 4) e un computer laptop (Dell Latitude E5470, i7-6600U CPU@2.60 GHz × 2). I sistemi operativi di entrambi i computer sono Ubuntu 16.04 LTS a 64 bit [ 24 ] con versione del kernel 4.32.0-61 a bassa latenza. Entrambi i computer erano collegati ai ricetrasmettitori tramite USB 3.0. Il computer desktop era inoltre dotato di periferiche standard tra cui monitor, mouse e tastiera.

4.1.2. Ricetrasmettitore radio

Due dispositivi USRP B210 e un telefono GSM MotorolaC118 costituivano l'hardware del ricetrasmettitore radio. Possiamo programmare il B210 per trasmettere e ricevere qualsiasi segnale radio desideriamo su un'ampia gamma di frequenze radio, da 70 MHz a 6 GHz, coprendo tutte le bande di frequenza LTE. Il C118 può essere utilizzato per eseguire la stessa funzione sulla banda GSM 900/1800 MHz [ 25 ].

4.1.3. Telefoni di prova

Due telefoni cellulari LTE commerciali sono stati utilizzati per svolgere compiti diversi. Un Apple iPhone6s plus (A1699) che supporta tutte le bande di frequenza LTE e GSM in Cina, ha funzionato come vittima UE; nel frattempo, il Meizu M5 Note è stato utilizzato come visualizzatore del numero di telefono. Abbiamo anche utilizzato la nota M5 per raccogliere le informazioni di rete LTE e GSM dell'operatore come (E) ARFCN, il numero PLMN e il TAC per configurare il nostro RLN e RGN. Il 6sp e l'M5 Note utilizzavano due diverse carte USIM di uno stesso operatore in Cina.

4.2. Software

Tre diversi set di software open source, srsLTE, OpenBSC e OsmocomBB, sono stati utilizzati nella nostra implementazione del rilevatore di numeri di telefono. Abbiamo già fatto un'introduzione a loro nella sezione sfondo. Abbiamo appena scaricato, costruito e testato i codici sorgente di srsLTE sul computer portatile, nonché i codici OpenBSC e OsmocomBB sul computer desktop per l'installazione sperimentale del software. Passaggi più dettagliati e specifici possono essere trovati in [ 7 - 9 ]. Quindi, potremmo modificare e ricostruire i codici sorgente per ottenere le funzioni che vogliamo. A causa dei dispositivi hardware a basso costo disponibili e del software open source, chiunque avesse solo abilità di codifica di base e la conoscenza delle specifiche GSM / LTE potrebbe eseguire l'esperimento.

5. Implementazione e risultati dell'SDR

In questa sezione, descriviamo come abbiamo implementato il rilevatore di numeri di telefono LTE utilizzando SDR e presentiamo i risultati del nostro esperimento. Abbiamo condotto tutti gli esperimenti nel nostro laboratorio di sicurezza della rete wireless per evitare di influenzare altri UE normali. Abbiamo tenuto la vittima UE vicino al sistema di rilevamento del numero di telefono in ogni esperimento in modo da soddisfare i requisiti di potenza del segnale radio della riselezione cellulare.

5.1. Implementazione SDR

5.1.1. Redirector LTE

Abbiamo eseguito srsENB e srsEPC sul laptop per creare un RLN. Per prima cosa abbiamo utilizzato la nota M5 per raccogliere le informazioni di rete LTE e GSM dell'operatore nelle vicinanze che erano necessarie per l'esperimento. Abbiamo acceduto alla modalità di test dell'M5 componendo il numero , che era allo stesso modo descritto in [ 15 ]. Dopo aver ottenuto con successo l'EARFCN, MCC, MNC e TAC della rete LTE commerciale e gli ARFCN delle reti GSM (vedi Figura 6 ) nel nostro laboratorio, abbiamo configurato il nostro eNodeB canaglia come segue:(un)L'eNodeB canaglia utilizzava gli stessi MCC, MNC e EARFCN di quello commerciale(b)Il TAC del canaglia eNodeB era configurato su un valore vicino ma non uguale a quello commerciale(c)L'ARFCN a cui l'UE della vittima è stata reindirizzata è stato impostato su un valore diverso da quegli ARFCN che avevamo raccolto

Abbiamo apportato alcune modifiche richieste ai codici sorgente srsENB per consentire all'eNodeB inaffidabile di restituire un redirectedCarrierInfo incapsulato nel messaggio RRCConnectionRelease dopo che l'eNodeB ha ricevuto una richiesta TAU dalla vittima UE. Inoltre, modifichiamo anche i codici sorgente srsEPC per utilizzare l'eNodeB canaglia come un catcher IMSI.

5.1.2. Middle-Man Network

Abbiamo eseguito OpenBSC e OsmocomBB sul desktop per creare la rete di intermediari. L'MCC e l'MNC della falsa stazione di base (BS) sono stati impostati sugli stessi valori dell'eNodeB inaffidabile. In particolare, l'impostazione del valore di ARFCN in modo che fosse esattamente quello contenuto in redirectedCarrierInfo è stato il passaggio più importante. Abbiamo semplicemente modificato i codici sorgente necessari di OpenBSC e OsmocomBB per implementare il processo di segnalazione come mostrato nella Figura 4 . Abbiamo anche acceso l'M5 Note in attesa della chiamata dall'UE vittima.

5.2. Risultati sperimentali

Abbiamo eseguito completamente l'esperimento diverse volte e, ogni volta, abbiamo sempre ottenuto i risultati sperimentali che ci aspettavamo dopo aver eseguito con successo il sistema di rilevamento del numero di telefono LTE.

Nel traffico dell'eNodeB canaglia in esecuzione sia come catcher IMSI che come redirector, abbiamo visto la richiesta TAU dalla vittima UE, il messaggio RRCConnectionRelease all'UE e l'IMSI della vittima UE nel messaggio Identity Response come mostrato in Figura 7 .

Probabilmente potremmo dedurre dal redirectedCarrierInfo nella Figura 7 che la vittima UE era stata reindirizzata al nostro falso GSM BS, e anche quello che è successo dopo nella BS lo ha confermato. Le Figure 8 e 9 hanno catturato parte dei registri OpenBSC e OsmocomBB, rispettivamente, in un esperimento. Quello che è successo potrebbe essere descritto come seguire le procedure in base ai risultati:(io)L'UE vittima ha avviato un LUR al RGN dopo essersi accampato nella nostra cella(ii)L'RGN ha catturato l'IMSI e l'IMEI (SV) della vittima UE e li ha inviati allo MS malintenzionato per avviare un LUR di tipo IMSI alla rete GSM commerciale(iii)Il malintenzionato ha inoltrato il parametro di autenticazione che Rand ha ricevuto dall'operatore all'RGN(iv)L'RGN ha utilizzato il Rand per autenticare l'UE vittima e ha trasmesso l' SRES al MS dannoso(v)Il MS malintenzionato ha completato con successo la procedura di autenticazione rinviando l' SRES alla rete GSM dell'operatore e ha inoltre completato la procedura LUR ricevendo il messaggio di Location Update Accept

Successivamente, abbiamo utilizzato il software OsmocomBB per effettuare una chiamata al displayer utilizzando l'identità dell'UE della vittima. Come previsto, la nota M5 ha ricevuto una chiamata dopo che il malintenzionato MS ha avviato una chiamata mobile originaria e ha visualizzato il numero di telefono della vittima UE nella Figura 10 , il che ha confermato la praticabilità del nostro modello di rilevamento del numero di telefono LTE.

6. Contromisura e discussione

I risultati sperimentali hanno mostrato che abbiamo rilevato con successo l'MSISDN del telefono cellulare di prova LTE quando il telefono della vittima era molto vicino al sistema di rilevamento del numero di telefono. A causa del problema di potenza del segnale radio, il sistema potrebbe essere efficace solo in una piccola portata quando si utilizzano dispositivi e apparecchiature sperimentali esistenti. Tuttavia, se dotato di PA (amplificatore di potenza), il sistema di rilevamento del numero di telefono LTE è in grado di interessare un'area abbastanza ampia. L'attacco è per lo più teorico e, in uno scenario reale, sarebbe difficile per le persone normali fare un buon uso dei numeri di telefono ottenuti. Tuttavia, le forze dell'ordine e le agenzie di intelligence possono utilizzare questo sistema come strumento per rintracciare un criminale in modo efficiente in tempo reale, conoscendo solo il numero di telefono di quel criminale. Nel frattempo, i trasgressori potrebbero utilizzare il sistema per intercettare la privacy dell'utente per usi illegali, ad es

Pertanto, ora proponiamo possibili misure contro l'attacco. La causa principale di questo attacco è che gli UE accettano il redirectedCarrierInfo non protetto , quindi con un ragionevole compromesso, dall'aspetto della specifica LTE, il modo più semplice per risolvere questo problema è trasmettere le informazioni di reindirizzamento solo dopo aver impostato il contesto di sicurezza. Inoltre, poiché c'è un cambiamento percettibile nell'icona della rete mobile sullo schermo del cellulare della vittima durante l'attacco, l'utente LTE può attivare la modalità aereo immediatamente quando si accorge di essere attaccato per evitare perdite di privacy, o disabilitare direttamente la rete GSM del cellulare. Dal lato operatore non c'è particolare esigenza di 2G nelle aree coperte sia dal 4G che dal 3G; quindi, la chiusura delle reti GSM non sicure in queste aree è una soluzione definitiva.

7. Conclusione

In conclusione, questo documento ha implementato un prototipo di rilevamento del numero di telefono mirato ai telefoni cellulari LTE utilizzando strumenti SDR facilmente disponibili e dispositivi commerciali convenienti. Abbiamo descritto il modello del rilevatore di numeri di telefono, le implementazioni SDR e presentato i risultati sperimentali. I risultati hanno mostrato che l'esistenza del GSM ha un grave impatto sulla privacy mobile nelle reti LTE. Pertanto, questo documento auspica che gli operatori di tutto il mondo possano disabilitare totalmente le reti 2G / GSM nelle aree coperte da 4G e 3G il prima possibile, per garantire la sicurezza e la privacy per gli abbonati alle reti mobili di generazione superiore. Infine, abbiamo discusso le potenziali difese.

Disponibilità dei dati

I dati sul traffico aereo del rogue eNodeB utilizzati per supportare i risultati di questo studio non sono stati resi disponibili gratuitamente a causa della necessità di proteggere la privacy degli utenti. Le richieste di accesso ai dati devono essere rivolte a Chuan Yu, yuchuan17@nudt.edu.cn .

Conflitto di interessi

Gli autori dichiarano di non avere conflitti di interesse.

Ringraziamenti

Il lavoro è supportato dal National Key Research and Development Program of China con Grant nn. 2018YFB180020, SQ2019ZD090149 e 2017YFB0802300.

Riferimenti

1. F. Liu, G. Tang, Y. Li, Z. Cai, X. Zhang e T. Zhou, "A survey on edge computing systems and tools," Proceedings of the IEEE , vol. 107, n. 8, pagg. 1537–1562, 2019.Visualizza su: Sito editore | Google Scholar
2. 3GPP, rete principale e terminali del gruppo delle specifiche tecniche; Protocollo NAS (Non-Access-Stratum) per Evolved Packet System (EPS); Fase 3 (TS 24.301 v15.4.0 Release 15), 2018-09, http://www.3gpp.org/ftp/Specs/archive/24_series/24.301/ .
3. L. Fang, G. Yeting, C. Zhiping, X. Nong e Z. Zhiming, "Edge-enabled disaster rescue: a case study of search for lost people", ACM Transactions on Intelligent Systems and Technology , vol. 10, no. 11, pagg. 1–26, 2019.Visualizza su: Google Scholar
4. Struttura della rete GSM, https://en.wikipedia.org/wiki/GSM/ .
5. M. Dillinger, K. Madani e N. Alonistioti, Software Defined Radio: Architectures, Systems and Functions , Wiley & Sons, Hoboken, NJ, USA, 2003.
6. N. Nikaein, R. Knopp, F. Kaltenberger et al., "Demo: OpenAirInterface: an open LTE network in a PC", in Proceedings of the 20th Annual International Conference on Mobile Computing and Networking (MobiCom'14) , pp. 305-308, Maui, HI, USA, settembre 2014.Visualizza su: Sito editore | Google Scholar
7. srsLTE, http://www.softwareradiosystems.com/products/#srslte/ .
8. OpenBSC, http://osmocom.org/projects/openbsc/ .
9. OsmocomBB, http://osmocom.org/projects/baseband/wiki/ .
10. Ricerca Ettus, "USRP", https://www.ettus.com/ .
11. D. Strobel, "IMSI catcher", Tech. Rep., Ruhr-Universität Bochum, Bochum, tedesco, 2007, Tech. Rep.14.Visualizza su: Google Scholar
12. SR Hussain, O. Chowdhury, S. Mehnaz ed E. Bertino, "Lteinspector: A systematic approach for adversarial testing of 4G LTE", in Proceedings of the 25th Annual Network and Distributed System Security Symposium (NDSS 2018) , San Diego, CA, USA, febbraio 2018.Visualizza su: Google Scholar
13. RP Jover, "Attacchi alla sicurezza contro la disponibilità delle reti di mobilità LTE: panoramica e direzioni di ricerca", in Atti del 16 ° simposio internazionale sulle comunicazioni multimediali personali senza fili (WPMC 2013) , pp. 1-9, Atlantic City, NJ, USA, Giugno 2013.Visualizza su: Google Scholar
14. RP Jover, "Sicurezza LTE, exploit di protocollo e sperimentazione di rilevamento della posizione con radio software a basso costo", 2016, http://arxiv.org/abs/1607.05171 .Visualizza su: Google Scholar
15. SF Mjølsnes e RF Olimid, "Easy 4G / LTE IMSI catchers for non-programmers", in Atti della 7th International Conference on Mathematical Methods, Models, and Architectures for Computer Network Security (MMM-ACNS 2017) , pagg. 235–246 , Varsavia, Polonia, agosto 2017.Visualizza su: Google Scholar
16. MT Raza, FM Anwar e S. Lu, "Exposing LTE security weakes at protocol inter-layer, and inter-radio interactions", in Proceedings of the Security and Privacy in Communication Networks — 13th International Conference (SecureComm 2017) , pp. 312–338, Niagara Falls, ON, Canada, ottobre 2017.Visualizza su: Sito editore | Google Scholar
17. A. Shaik, J. Seifert, R. Borgaonkar, N. Asokan e V. Niemi, "Practical attack against privacy and availability in 4G / LTE mobile communication systems", in Proceedings of the 23rd Annual Network and Distributed System Security Symposium ( NDSS 2016) , San Diego, CA, USA, febbraio 2016.Visualizza su: Google Scholar
18. Y. Song, X. Hu e Z. Lan, "The GSM / UMTS phone number catcher", in Proceedings of the 2011 Third International Conference on Multimedia Information Networking and Security , pp. 520-523, Shanghai, China, November 2011 .Visualizza su: Google Scholar
19. Socket di rete, https://en.wikipedia.org/wiki/Network_socket/ .
20. Numero di canale radiofrequenza assoluto, ARFCN, https://en.wikipedia.org/wiki/Absolute_radio-frequency_channel_number/ .
21. 3GPP, Evolved Universal Terrestrial Radio Access (E-UTRA); Trasmissione e ricezione radio delle apparecchiature utente (UE); Frequenza portante ed EARFCN (3GPP TS 36.101 v15.4.0 Release 15), 2018-09, http://www.3gpp.org/ftp/Specs/archive/36_series/36.101/ .
22. 3GPP, Evolved Universal Terrestrial Radio Access (E-UTRA); Procedure per apparecchiature utente (UE) in modalità inattiva (3GPP TS 36.304 v15.1.0 Release 15), 2018-09, http://www.3gpp.org/ftp/Specs/archive/36_series/36.304/ .
23. 3GPP, Evolved Universal Terrestrial Radio Access (E-UTRA), Radio Resource Control (RRC), Protocol Specification (3GPP TS 36.331 v15.3.0 Release 15), 2018-09, http://www.3gpp.org/ftp/Specs /archive/36_series/36.331/ .
24. Ubuntu 16.04.5 LTS (Xenial Xerus), http://releases.ubuntu.com/16.04/ubuntu-16.04.5-desktop-amd64.iso .
25. Bande di frequenza GSM, https://en.wikipedia.org/wiki/GSM_frequency_bands/ .

Diritto d'autore

Copyright © 2019 Chuan Yu et al. Questo è un articolo ad accesso aperto distribuito sotto la Licenza di attribuzione Creative Commons , che consente l'uso, la distribuzione e la riproduzione senza restrizioni con qualsiasi mezzo, a condizione che il lavoro originale sia citato correttamente.