無線通信×セキュリティ

Security/Radio/IoT/Mobile/Network

新しいLTEの脆弱性の話 ”LTEFuzz”について

新年早々面白そうな論文が発表されたので読んでみました。またLTEネタなのですが、昨年からLTE脆弱性ネタは連発しており、そろそろ本気でまずいんじゃなかろうかと思われます。

 昨年のネタは過去の記事でまとめています。

www.tansokun920.com

 

 

 

LTEFuzzとは

今回の論文は韓国の大学の研究者が発表した内容になります。詳細は以下ページにまとめられています。

sites.google.com

内容は、LTEのコントロールプレーン(C-PLANE)のプロトコルNASとRRCに絞っていわゆるプロトコルファジングをしたっていう話になります。そのためLTEFuzzという名称が使われているようです。

LTEFuzzのアプローチ

論文では、以下のようなステップで脆弱性の評価を行なったとのこと。

  1. セキュリティプロパティの抽出
    これは3GPPの標準ドキュメントから可能性のある脅威を洗い出すようなことをしています。
  2. テストケースの生成
    1で得た結果から、実際に実機でテストを行うケースを作ります。ただし、その際に全てのパラメータを見ていたら途方も無い時間がかかってしまうので、自動化ツールと実際のオペレータで使用されている端末ログからテストケースを絞ったようです。
  3. 結果から問題のある挙動を分類
    最後に2で得た実機の挙動から、DoS、Spoofing、SMSphising、MitMなどの攻撃に分類していきます。今回の報告の中で一番インパクトがあったのはMitM、認証バイパス可能な脆弱性があるということでした。これはLTEの仕様の問題ではなく、実装ミスによるもののようです。また、論文中では51の脆弱性が報告され内36の脆弱性が新たなものでした。

LTEFuzzで用いられたツール

昨年からホットなLTE脆弱性報告ですが、やはりSDRとオープンソースが用いられていました。端末へのテストはopenLTEを用いており、基地局側へのテストはsrsLTEを用いていたようです。ただ、自動化ツールにするためオープンソースから大幅な変更が加えられているようです。ただ、今回の論文で使用されたLTEFuzzは公開予定は無いようです。

 

 openLTEについては過去に以下の記事でまとめています。ご参考まで。 

www.tansokun920.com

 

LTEFuzzで検知された認証バイパス

 認証バイパスですが、本来行うべき認証及びSecutiryModeのネゴシエーションをスキップさせてしまっても正常に動作する端末がいるようです。この場合、SIMの鍵情報など一切知らずに、偽装基地局に端末を引き込み、通信の盗聴、端末への不正アクセス、不正なサイトへの誘導などなど、やれてしまう可能性があります。過去の報告に比べ、この問題は現実性が高いと思います。

f:id:tansokun920:20190124221122p:plain

https://syssec.kaist.ac.kr/pub/2019/kim_sp_2019.pdf

 

 最後に

SDRとオープンソースで色々やれることが出てきたから、早急に5Gへの以降が必要かと思うけど、脆弱性のあるLTE端末は残るからどうやって対処して行くのが良いのか考えものですね。