• XCell Technologies

REVOLTE ATTACK

Neuer Angriff ermöglicht es Hackern, die VoLTE-Verschlüsselung zu entschlüsseln, um Telefonanrufe auszuspionieren.

Ein Team von akademischen Forschern - die bereits Anfang des Jahres Schlagzeilen machten, weil sie schwerwiegende Sicherheitsprobleme in den 4G-LTE- und 5G-Netzwerken aufdeckten - hat heute einen neuen Angriff namens "ReVoLTE" vorgestellt, mit dem Angreifer die Verschlüsselung von VoLTE-Sprachanrufen knacken und gezielte Telefonate ausspionieren können.

Der Angriff nutzt keine Schwachstelle im Voice-over-LTE-Protokoll (VoLTE) aus, sondern nutzt die schwache Implementierung des LTE-Mobilfunknetzes bei den meisten Telekommunikationsanbietern in der Praxis aus, so dass ein Angreifer die verschlüsselten Telefongespräche der anvisierten Opfer abhören kann.

VoLTE oder Voice-over-Long-Term-Evolution-Protokoll ist ein Standard für die drahtlose Hochgeschwindigkeitskommunikation für Mobiltelefone und Datenendgeräte, einschließlich Internet-of-Things (IoT)-Geräte und Wearables, die die 4G-LTE-Funktechnologie nutzen.

Die Krux an der Sache ist, dass die meisten Mobilfunkbetreiber für zwei aufeinanderfolgende Gespräche innerhalb einer Funkverbindung oft denselben Keystream verwenden, um die Sprachdaten zwischen dem Telefon und derselben Basisstation, also dem Mobilfunkturm, zu verschlüsseln.

Der neue ReVoLTE-Angriff nutzt also die Wiederverwendung desselben Keystreams durch verwundbare Basisstationen aus, wodurch Angreifer im folgenden Szenario den Inhalt von VoLTE-gestützten Sprachanrufen entschlüsseln können.


Die Wiederverwendung eines vorhersagbaren Keystreams ist jedoch nicht neu und wurde zuerst von Raza & Lu aufgezeigt, aber der ReVoLTE-Angriff macht daraus einen praktischen Angriff.

Wie funktioniert der ReVoLTE-Angriff?


Um diesen Angriff zu initiieren, muss der Angreifer mit der gleichen Basisstation wie das Opfer verbunden sein und einen Downlink-Sniffer platzieren, um einen "gezielten Anruf" des Opfers an eine andere Person zu überwachen und aufzuzeichnen, der später entschlüsselt werden muss, als Teil der ersten Phase des ReVoLTE-Angriffs.

Sobald das Opfer den "gezielten Anruf" auflegt, wird der Angreifer aufgefordert, das Opfer anzurufen, in der Regel innerhalb von 10 Sekunden sofort, was das verwundbare Netzwerk dazu zwingt, einen neuen Anruf zwischen Opfer und Angreifer über dieselbe Funkverbindung zu initiieren, die vom vorherigen gezielten Anruf verwendet wurde.

"Die Keystream-Wiederverwendung tritt auf, wenn das Ziel und der Keystream-Aufruf denselben User-Plane-Verschlüsselungsschlüssel verwenden. Da dieser Schlüssel für jede neue Funkverbindung aktualisiert wird, muss der Angreifer sicherstellen, dass das erste Paket des Keystream-Anrufs innerhalb der aktiven Phase nach dem Zielanruf ankommt", so die Forscher.

Sobald die Verbindung hergestellt ist, muss der Angreifer in der zweiten Phase das Opfer in ein Gespräch verwickeln und dieses im Klartext aufzeichnen, was dem Angreifer später helfen würde, den vom nachfolgenden Anruf verwendeten Keystream rückwärts zu berechnen.

Den Forschern zufolge entschlüsselt die XOR-Verknüpfung der Keystreams mit dem entsprechenden verschlüsselten Frame des in der ersten Phase aufgezeichneten Zielanrufs dessen Inhalt, so dass die Angreifer abhören können, welches Gespräch ihr Opfer im vorherigen Telefonat geführt hat.

"Da dies zu demselben Keystream führt, werden alle RTP-Daten auf die gleiche Weise verschlüsselt wie die Sprachdaten des Zielanrufs. Sobald eine ausreichende Menge an Keystream-Daten generiert wurde, bricht der Angreifer den Anruf ab", heißt es in dem Papier.

Die Länge des zweiten Anrufs sollte jedoch größer oder gleich dem ersten Anruf sein, um jeden Frame zu entschlüsseln; andernfalls kann er nur einen Teil des Gesprächs entschlüsseln.

"Es ist wichtig zu beachten, dass der Angreifer das Opfer in ein längeres Gespräch verwickeln muss. Je länger er/sie mit dem Opfer gesprochen hat, desto mehr Inhalte der vorherigen Kommunikation kann er/sie entschlüsseln", heißt es in dem Papier.

"Jeder Frame ist mit einem Count verbunden und mit einem individuellen Keystream verschlüsselt, den wir während der Keystream-Berechnung extrahieren. Da der gleiche Zählerstand den gleichen Keystream erzeugt, synchronisiert der Zählerstand die Keystreams mit verschlüsselten Frames des Zielaufrufs. Durch XOR-Verknüpfung der Keystreams mit dem entsprechenden verschlüsselten Frame wird der Zielaufruf entschlüsselt."

"Da wir das Ziel haben, das komplette Gespräch zu entschlüsseln, muss der Keystream-Anruf so lang sein wie das Zielgespräch, um eine ausreichende Anzahl von Paketen zu liefern, da wir sonst nur einen Teil des Gesprächs entschlüsseln können."

Die Erkennung und Demonstration von ReVoLTE-Angriffen


Um die praktische Durchführbarkeit des ReVoLTE-Angriffs zu demonstrieren, implementierte das Wissenschaftlerteam der Ruhr-Universität Bochum eine End-to-End-Version des Angriffs innerhalb eines kommerziellen, anfälligen Netzwerks und kommerzieller Telefone.

Das Team nutzte den Downlink-Analysator Airscope von Software Radio System, um den verschlüsselten Datenverkehr zu erfassen, und drei Android-basierte Telefone, um den bekannten Klartext am Telefon des Angreifers abzurufen. Anschließend verglich es die beiden aufgezeichneten Gespräche, ermittelte den Verschlüsselungsschlüssel und entschlüsselte schließlich einen Teil des vorherigen Gesprächs.


Sie können das Demo-Video des ReVoLTE-Angriffs sehen, dass laut den Forschern weniger als 7000 US-Dollar kostet, um den Angriff einzurichten und schließlich den Downlink-Datenverkehr zu entschlüsseln.

Das Team testete eine Reihe zufällig ausgewählter Funkzellen in ganz Deutschland, um das Ausmaß des Problems zu bestimmen, und stellte fest, dass 12 von 15 Basisstationen in Deutschland betroffen sind, aber die Forscher sagten, dass die Sicherheitslücke auch andere Länder betrifft.

Die Forscher informierten die betroffenen deutschen Basisstationsbetreiber Anfang Dezember 2019 über den ReVoLTE-Angriff im Rahmen des GSMA Coordinated Vulnerability Disclosure Program, die Betreiber konnten die Patches zum Zeitpunkt der Veröffentlichung bereitstellen.


Da das Problem auch eine große Anzahl von Providern weltweit betrifft, haben die Forscher eine Open-Source-Android-App namens "Mobile Sentinel" veröffentlicht, mit der Sie feststellen können, ob ihr 4G-Netz und ihre Basisstationen für den ReVoLTE-Angriff anfällig sind oder nicht.

Die Forscher - David Rupprecht, Katharina Kohls und Thorsten Holz von der Ruhr-Universität Bochum und Christina Pöpper von der NYU Abu Dhabi - haben auch eine eigene Website und ein Forschungspapier (PDF) mit dem Titel "Call Me Maybe: Eavesdropping Encrypted LTE Calls With REVOLTE", das den ReVoLTE-Angriff detailliert beschreibt veröffentlicht, wo Sie weitere Details finden.

Quelle