近年来,4G VoLTE在全球移动通讯领域正逐渐普及流行,目前已经成为大多数欧美地区和亚洲国家的发展趋势。而最近,法国安全公司 P1 security通过报告方式详细罗列了一长串关于4G VoLTE通话技术的安全问题。报告阐述了可以利用VoLTE协议漏洞对用户进行远程攻击,并能成功实现手机号码欺骗、手机用户地理位置定位以及IMEI信息获取等。
VoLTE简介
VoLTE即Voice over LTE,它是一种新兴的IP数据传输技术,无需2G/3G网,全部业务承载于4G网络上,可实现数据与语音业务在同一网络下的统一。换言之,4G网络下不仅仅提供高速率的数据业务,同时还提供高质量的音视频通话,后者便需要VoLTE技术来实现。VoLTE是架构在4G网络上全IP条件下的端到端音视频语音方案,其用户体验明显优于传统语音。自2013年以来,我国国内各大运营商便纷纷试运行VoLTE业务,各运营商之间业务范围基本已实现全国覆盖,VoLTE技术在未来将成为通话领域的发展趋势。
简单来说,VoLTE可以算是LTE、GSM和VoIP的混合,是一种互联网语音通信技术,该技术协议最早于2012年在韩国和新加坡首先推出试行,由于其融合了传统稳定的电路交换协议和现代高质高速的IP通信协议,后来,随着其不断的发展完善,逐渐就在各国普及流行开来。
P1 security的研究发现
VoLTE算得上一种全球通用的通话协议,且在世界各国都有相应的运营商在部署使用。出于安全目的, P1 security的技术专家对VoLTE开展了一系列的安全审计和技术研究,最终,他们发现,在使用Andriod手机接入移动通信网络的情况下,可以通过VoLTE协议实现对用户的远程攻击入侵和地埋位置跟踪定位,这是一个非常严重的漏洞。
P1 security研究人员表示,他们已经发现两种漏洞,分别为“主动型”需要修改SIP数据包的漏洞,以及不需要修改SIP数据包,但通过被动网络监测导致数据泄露的“被动型”漏洞。以下是P1 security团队研究报告中对VoLTE存在问题的一些总结:
1. 通过SIP邀请信息进行用户枚举
当用户之间的手机通过VoLTE发起会话时,会话发起协议(SIP)的邀请消息便会成为第一种消息在用户间实现交换。在会话发起人和接收人之间,这些消息会通过所有支持这种会话类型的移动网络设备。
研究人员声称,处于同一移动网络内的攻击者可以发送经事先修改过的SIP邀请消息,对移动服务供应商进行暴力猜解,最终能得到该移动网络内的VoLTE用户信息。
2. 会话描述协议(SDP)中的数据免费交换
当VoLTE网络不启动负责计费的呼叫详细记录(CDR)模块的条件下,该漏洞允许VoLTE用户间进行数据交换,如通话记录、短信、移动数据等。
在过去,也有其它研究人员发现了VoLTE网络中的免费数据交换通道,但这种方法前提需要利用SIP和实时传输协议RTP消息实现CDR绕过。
而P1 security团队发现,在VoLTE网络中,攻击者可以利用SIP和SDP消息创建一种不能监控发现的数据交换通道。对合法监听(监视)来说,这是一个问题,因为这种方法可能会被犯罪嫌疑人利用,创建隐蔽数据通信通道进行违法通信,形成监控空白。
3. 利用SIP邀请消息进行用户身份欺骗
攻击者通过在SIP邀请消息中修改某些头标记,以此伪造成其它用户手机号码进行通话。一般来说,只要通话发起人发起的SIP邀请消息格式正确,移动网络基础设施不会对其进行验证,尤其是通话发起人身份。
P1 security研究人员警告称,这将是一个严重的问题,可能导致攻击者入侵其它用户的语音信箱,或犯罪份子以此制造号码伪装,对执法部门监控行为造成干扰。
虽然有些场景在报告中没有提及,但可以想像,比如一些诈骗者通过这种方法冒充合法公司联系电话,对客户进行密码和PINs等其它敏感信息进行电话诈骗。
4. 对VoLTE通信设备指纹和拓扑进行发现
攻击者利用Android智能手机接入VoLTE网络后,通过监测流经手机的VoLTE通话流量,就可识别出移动服务运营商使用的VoLTE基础设备的网络指纹信息。根据P1 security研究团队报告,这些移动运营商非常详细的网络设置数据,当手机接入移动网络之后,可以在手机接收到名为“200 OK”的消息流量中发现。
研究人员建议移动运营商需要对 “200 OK”消息头进行审查,把其中涉及到VoLTE通信的设备信息删除,防止攻击者发现和绘制通信网设备拓扑,避免攻击者对移动运营商发起或实施其它精心构造的深度攻击。
5. 泄露通话接收者的IMEI信息
研究人员通过监测发起VoLTE通话的Android智能手机流量后发现,在用户间建立通话连接之前,会进行一些中介性消息的交换,这些消息可以泄露通话接收者的IMEI信息。
IMEI:国际移动设备身份码,由15位数字组成的”电子串号”,它与每台移动电话机一一对应,是手机设备的唯一辨识码,与计算机的MAC类似。
这些中介性消息是名为”183 Session Progress” 的SIP消息,下图显示了通话建立之前,它们在VoLTE网络中进行正常连接时的位置:
研究人员称,由于这种攻击不需双方建立通话连接,所以攻击者可以在拨打电话过程中一旦收集获取到对方IMEI信息后,就可以立即挂断电话。
6. 泄露通话用户包括地理位置在内的更多个人信息
与上述攻击类似,研究人员还发现,相同的”183 Session Progress” SIP消息也可以泄漏关于受害者的更详细的信息。
这种信息存储在”183 Session Progress” SIP消息头的另一部分区块中,包含了受害者的通用移动通信系统地面无线接入网基站位置标识符(UTRAN CELLID)的详细信息,该标识符是用户手机设备天线接入移动网络的唯一标识,其中CELLID为用户手机附近移动基站的位置编号,结合经纬度等其它信息,可以对手机用户进行精确的地理位置定位。
换句话说,攻击者可以用此方法对受害者发起“幽灵呼叫”,检测受害者的大致位置,并在建立电话通话之前挂断电话。下图为UTRAN CELLID格式:
总结
对于后两种攻击,研究小组建议,移动运营商应该在通信顶端架构对183会话的SIP消息头进行弱化或安全审查,只让它们在一些必要的VoLTE通话支持基础设施中出现,而不应该通过终端用户手机。而另据媒体报道,2015年被发现的VoLTE语音信箱漏洞到现在也还没被修复。悲惨的手机和懒惰的移动服务运营商,谁来背VoLTE漏洞这个锅?
更多关于VoLTE漏洞的信息,请查看P1 security团队报告《在Anriod手机上利用4G VoLTE进行用户远程定位和跟踪》,该报告于6月初在一年一度的法国雷恩信息技术和通信安全研讨会上被公布。
