我们发现了一种新方法能够利用 LTE 和 5G 中的 MAC 层协议,通过使用其他人的网络进行远程通信。这个新发现的 LTE/5G MAC 层协议标准中的漏洞很可能会影响到其他的无线宽带标准。该漏洞可让未经授权的设备通过服务提供商的基础设施匿名交换短消息。虽然目前它对 Wi-Fi 网络的影响还不是很大,但是随着蜂窝覆盖范围从一个房间扩展到更远距离,它必将成为一个值得关注的大问题。
该漏洞使得未经授权的用户有机会在完成网络身份验证之前,就能对建立链路的初始消息当中的要素加以利用。因此,一个匿名的非授权用户可以利用基站广播信号将消息传递给蜂窝覆盖区域内的另一个匿名用户。
与已知的隐蔽通信技术相比,这种新型非授权通信技术利用的是无线接入基础设施中的 MAC 层(L2),而不是直接访问物理频谱(L1)或使用网络协议栈的其他层(L3-L7)。Wiley Online Library 表示:“媒体访问控制(MAC)层为上层提供无线资源分配服务和数据传输服务。MAC 层的数据传输服务包括执行调度请求、缓冲状态报告、随机接入和混合自动重传请求(HARQ)等。”
该漏洞的正式名称为 CVD-2021-0045,昵称 SPARROW。我们已经负责任地在 GSMA 协调漏洞披露计划中对其进行了披露;GSMA 移动安全网站也认可了该漏洞。
SPARROW 的发现过程
作为是德科技 ATI 研究中心的高级研究员,我的研究方向是信号处理和无线系统安全。2020 年,我在研究数据渗漏方法的工作过程中,设想了利用商用通信网络中的无线广播资源泄露数据的可能性。我意识到,网络和互联网应用中存在许多威胁场景,其中一部分超出了无线安全领域所定义的常见威胁。我对漏洞的定义是:在预期的应用范围之外使用系统的机会。威胁场景(比如数据渗漏等)对于查找和修补系统及标准中存在的漏洞具有特殊意义。
数据渗漏场景是网络安全领域的常见研究课题。恶意行为者可以通过它来创建隐蔽的通信方案,从而将受感染系统中的敏感信息泄漏出去。到目前为止,一些广为人知的数据渗漏技术利用的是互联网应用和网络协议,安全行业已经开发出了针对性的预防措施。根据我对无线安全的理解,我首先问了一个关键的假设性问题。正是这个问题的提出,为我的新发现奠定了基础:“如果有人利用商用无线接入基础设施的 MAC 层协议进行低成本、低能耗的隐蔽通信会怎样?”
商用无线信号几乎无所不在,因此利用它们进行数据渗漏的话,就可以绕过现有的所有预防措施。我没有找到任何关于利用无线 MAC 层(L2)协议进行隐蔽通信的文章,这种疏忽应当归咎为研究界对隐蔽通信的理解各有不同。网络安全研究人员通常将精力集中在利用 L3 到 L7 层协议的技术上。在无线安全领域,隐蔽通信通常指的是使用 L1 层无线信号的隐蔽广播,包括能够利用授权用于商用网络的频谱的 L1 盗版无线。但是,L2 是什么情况?
我的第一个研究目标是大家耳熟能详的 3GPP 标准。 2020 年 2 月,我在 3GPP TS 36.321 标准中发现了一个影响 LTE 和 5G 网络的漏洞。我将这个漏洞命名为 SPARROW。它允许匿名的低功耗设备在不连接网络的情况下在小区内交换隐蔽的短消息。我们与意大利米兰的一个工程团队一起安排了一次概念验证。这个场景于 2020 年 12 月得到验证。
SPARROW 的危害
基于以下原因,SPARROW 会对在其他隐蔽通信方式保护下的关键设施构成真正的危险:
- 匿名程度极高:SPRROW 设备在运行时不与主机网络进行身份验证,因此避开了暴露给网络安全和合法拦截系统以及频谱扫描仪的风险。它们利用的资源非常有限,对主机网络服务的影响非常小。
- 覆盖面大:利用基站或非地面技术的广播功率,SPARROW 设备可以相隔几英里进行通信。如果在稀疏的网状网络中部署几个这类设备,就可以进一步扩大通信范围。
- 功耗低、操作简单:SPARROW 设备可对安装在商用 SDR 上的现有的协议实施资源库加以利用。它们使用电池供电,或是长期从周围环境中获取能量,就像真正的麻雀一样!
以下利用场景值得注意:
- 无线数据渗漏:SPARROW 设备(可能只有加密狗大小)可能会成为已知网络数据渗漏技术的有效替代手段。
- 命令与控制:它们可以使用商用通信基础设施匿名与恶意物联网设备远程通信,触发意外事件。
- 秘密活动:代理能够与敌对区域的 SPARROW 设备进行通信,并且不用广播明显的信号或直接访问现有网络。
以下是重要收获:
- 无线 MAC 协议中的不安全消息可能会被低成本的用户设备用来进行恶意意图的隐蔽通信。行业组织在评估安全态势时应当充分考虑到这种新型漏洞。
- 该漏洞长期以来一直未被披露,这一事实应当引起协议规范编写人员的足够重视,缜密考虑在设计阶段对重播和广播的滥用。
- 研究人员应当对其他早期 MAC 协议开展检查,看看是否存在其他绕过流量检验设备的隐蔽通信方法。
您如何防范网络上的这类漏洞?针对易受攻击的无线标准,我们已经开发出一种通用的补救措施。
作者:是德科技高级研发工程师 Reza Soosahabi