【編者按】針對(duì)美國(guó)4G網(wǎng)絡(luò)漏洞事件，雷鋒網(wǎng)邀請(qǐng)了360無(wú)線電&硬件實(shí)驗(yàn)室成員Alin進(jìn)行深度分析。在本文中，Alin將會(huì)對(duì)此次出現(xiàn)漏洞的VoLTE網(wǎng)絡(luò)技術(shù)進(jìn)行解讀，4G網(wǎng)絡(luò)漏洞的背后，到底都有什么技術(shù)門道？

最近，CERT（美國(guó)計(jì)算機(jī)安全應(yīng)急響應(yīng)組）發(fā)布了一個(gè)重大消息：美國(guó)兩大無(wú)線運(yùn)營(yíng)商 Verizon 和 AT&T 存在嚴(yán)重的網(wǎng)絡(luò)漏洞，會(huì)導(dǎo)致用戶遭受點(diǎn)對(duì)點(diǎn)的攻擊。所有安卓版本的設(shè)備不幸全部中槍，包括最新版本的Android6.0（棉花糖）。具體可參考雷鋒消息：4G網(wǎng)絡(luò)爆出漏洞？美國(guó)兩大運(yùn)營(yíng)商全軍覆沒(méi)

目前在美國(guó)出現(xiàn)漏洞的是VoLTE網(wǎng)絡(luò)技術(shù)，關(guān)于漏洞產(chǎn)生的原因，可引用雷鋒網(wǎng)資深安全領(lǐng)域風(fēng)趣兼具內(nèi)涵的記者方槍槍所言：

在全球網(wǎng)絡(luò)通訊向LTE技術(shù)演技的過(guò)程中，技術(shù)的迭代產(chǎn)生了在上一代網(wǎng)絡(luò)中沒(méi)有出現(xiàn)過(guò)的新攻擊方式。

在今年10月，美國(guó)丹佛市舉辦的ACM CCS 2015會(huì)議上，來(lái)自韓國(guó)科學(xué)技術(shù)院（KAIST）的研究者們發(fā)表了他們?cè)赩oLTE安全方面的一些研究成果。

什么是VoLTE？

VoLTE是Voice over LTE的縮寫，意思是在LTE網(wǎng)絡(luò)（也就是我們常說(shuō)的4G網(wǎng)絡(luò)）上“打電話”。目前全世界大部分的，已經(jīng)開通了4G網(wǎng)絡(luò)的移動(dòng)運(yùn)營(yíng)商，都還沒(méi)有支持VoLTE業(yè)務(wù)。

根據(jù)論文中的數(shù)據(jù)，到2015年4月，有7個(gè)國(guó)家的16個(gè)運(yùn)營(yíng)商支持VoLTE，還有47個(gè)國(guó)家的90個(gè)運(yùn)營(yíng)商正在準(zhǔn)備部署VoLTE。另外，目前支持VoLTE的終端也比較少。這篇論文總共測(cè)試了2個(gè)美國(guó)運(yùn)營(yíng)商和3個(gè)韓國(guó)運(yùn)營(yíng)商。

介紹這個(gè)背景的目的是想說(shuō)明：第一，目前VoLTE還是個(gè)新生事物，不成熟，容易暴露問(wèn)題；第二，因?yàn)楹芏噙\(yùn)營(yíng)商不支持，所以影響面不大。

•  對(duì)中國(guó)有影響嗎？

香港地區(qū)支持。中國(guó)大陸地區(qū)現(xiàn)在還不支持VoLTE，目前語(yǔ)音通話是使用3G和2G網(wǎng)絡(luò)。

• 漏洞利用會(huì)危害誰(shuí)的利益？

對(duì)于運(yùn)營(yíng)商來(lái)說(shuō)，可以發(fā)起的攻擊是：

1）繞過(guò)運(yùn)營(yíng)商的計(jì)費(fèi)系統(tǒng)，免費(fèi)通話或者免費(fèi)上網(wǎng)；

2）拒絕服務(wù)攻擊，使運(yùn)營(yíng)商的SIP服務(wù)器癱瘓。

對(duì)用戶的危害是：

1）可以偽造主叫號(hào)碼，撥打欺詐電話；

2）可以惡意產(chǎn)生巨額話單。

漏洞究竟是如何實(shí)現(xiàn)攻擊的？

這里解讀一下具體的攻擊方法。這個(gè)研究團(tuán)隊(duì)在VoLTE這個(gè)攻擊面上上做了很多的研究工作，發(fā)現(xiàn)的漏洞也很多。

首先說(shuō)明一下，這個(gè)研究的前提是：

1、 攻擊者沒(méi)有接觸到運(yùn)營(yíng)商核心網(wǎng)。

2、攻擊者對(duì)自己的手機(jī)有完全的控制權(quán)，也就是有root權(quán)限。

因?yàn)榘沧肯到y(tǒng)的開放性，所以利用安卓系統(tǒng)進(jìn)行實(shí)驗(yàn)是比較方便的。請(qǐng)注意，手機(jī)在這里主要是一個(gè)攻擊工具，因?yàn)槁┒粗饕嬖谟谶\(yùn)營(yíng)商的VoLTE系統(tǒng)中。

• 繞過(guò)計(jì)費(fèi)系統(tǒng)

因?yàn)閂oLTE本質(zhì)上是一個(gè)SIP通話的過(guò)程。

SIP是基于IP數(shù)據(jù)傳輸?shù)?。運(yùn)營(yíng)商對(duì)VoLTE的計(jì)費(fèi)，沿襲了傳統(tǒng)的語(yǔ)音通話按時(shí)間長(zhǎng)短計(jì)費(fèi)的原則，按照SIP通話的時(shí)間長(zhǎng)度來(lái)計(jì)費(fèi)。而且僅當(dāng)被叫方發(fā)出“接聽”這個(gè)消息之后，才開始計(jì)費(fèi)。但是，在SIP session建立之前，主叫和被叫雙方就已經(jīng)建立的IP連接（因?yàn)镾IP是在IP層之上的嘛）。所以攻擊者可以讓這個(gè)SIP session始終不能成功建立，但是IP連接卻可以保持，攻擊者可以利用這個(gè)IP連接免費(fèi)傳輸數(shù)據(jù)。

 

更糟糕的是，研究者們發(fā)現(xiàn)，有些運(yùn)營(yíng)商的系統(tǒng)中，兩個(gè)互相知道IP地址的終端，可以通過(guò)P-GW直接傳遞SIP消息，而不需要經(jīng)過(guò)計(jì)費(fèi)系統(tǒng)所在的IMS。這就使得兩個(gè)手機(jī)可以免費(fèi)享用這個(gè)連接，只要把自己所有的數(shù)據(jù)包裝成SIP的數(shù)據(jù)包就可以了。

• 拒絕服務(wù)攻擊

因?yàn)樵诎沧肯到y(tǒng)上，可以深度控制SIP客戶端，所以可以發(fā)送大量的SIP請(qǐng)求，使SIP server癱瘓。根據(jù)論文中做過(guò)的測(cè)試，5個(gè)運(yùn)營(yíng)商中只有一個(gè)運(yùn)營(yíng)商對(duì)SIP session的數(shù)量做了限制。

• 鑒權(quán)不嚴(yán)格

SIP客戶端可以任意修改SIP消息的端口，內(nèi)容等等，當(dāng)然也可以修改主叫號(hào)碼。5個(gè)運(yùn)營(yíng)商中有2個(gè)，可以修改主叫號(hào)碼。類似的問(wèn)題在普通的VoIP應(yīng)用中也存在。目前有大量的網(wǎng)絡(luò)電話服務(wù)商，這些IP電話應(yīng)用程序被破解之后，就可以用于偽造主叫號(hào)碼，可以以10086或者110這樣的身份打出電話，之前已經(jīng)有很多此類案例。

• 隱秘地?fù)艽螂娫?/strong>

以上是以安卓手機(jī)為攻擊工具，對(duì)運(yùn)營(yíng)商系統(tǒng)進(jìn)行的攻擊。有一些情況下，安卓手機(jī)用戶會(huì)變成受害者。例如，手機(jī)被攻擊者植入了惡意軟件。攻擊者可以通過(guò)惡意軟件，經(jīng)過(guò)手機(jī)的SIP接口撥打電話，產(chǎn)生巨額話單。

而且這個(gè)通話界面可以被完全隱藏，所以它也可以被利用來(lái)做竊聽。這個(gè)例子暴露出來(lái)的問(wèn)題是安卓對(duì)VoLTE的權(quán)限沒(méi)有處理好。

VoLTE是一個(gè)IP數(shù)據(jù)連接，在安卓系統(tǒng)中被當(dāng)做普通的Internet Access的權(quán)限處理，所以撥打電話這個(gè)請(qǐng)求就可以瞞天過(guò)海了。

以上就是對(duì)該漏洞的簡(jiǎn)單解讀。論文中所發(fā)現(xiàn)的問(wèn)題，值得目前所有的“已經(jīng)”或“將要”部署VoLTE的運(yùn)營(yíng)商們重視。運(yùn)營(yíng)商可以通過(guò)升級(jí)P-GW和SIP server來(lái)修復(fù)這些漏洞。我想移動(dòng)運(yùn)營(yíng)商們也許可以多多借鑒那些老牌的VoIP服務(wù)商的經(jīng)驗(yàn)，例如Skype，他們一定經(jīng)歷過(guò)很多類似的攻擊問(wèn)題。

在11月份即將在韓國(guó)召開的POC 2015會(huì)議上，漏洞發(fā)現(xiàn)者也將就這個(gè)議題發(fā)表演講。今年UnicornTeam也有議題入選，屆時(shí)可以與韓國(guó)的研究者們當(dāng)面交流這個(gè)問(wèn)題的細(xì)節(jié)。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。