無線通信×セキュリティ

Security/Radio/IoT/Mobile/Network

フェムトセルのハッキング報告

先日のHITB GSECで発表されたフェムトセルをハッキングしたMitM攻撃の報告が面白かったので、まとめてみました。 

報告された元の内容は以下のページです。

gsec.hitb.org

 

フェムトセルは、携帯電話の基地局の小型版です。日本国内でも電波が届かない家庭やオフィス向けに各通信事業者が提供しています。

www.nttdocomo.co.jp

www.au.com

www.softbank.jp

 

フェムトセルは、一般家庭に置くこともあるため、普通のインターネット回線が使われます。そのため、フェムトセルとコアネットワークの間にはSeGW(Security Gateway)が置かれ、フェムトセルとSeGWの間はIPSecでトンネリングされます。通信を秘匿する必要があるので。

SeGWがフェムトセルを認証する方式は、いくつかありますが、携帯電話のSIMと同じようにフェムトセルSIMカードを入れてAKA認証するパターンや、クライアント証明書をフェムトセルに入れてクライアント認証するパターンがあります。

f:id:tansokun920:20190902224410p:plain

 

日本国内では、通信事業者に申し込んで、かつ電波が届かないエリアだった場合にレンタルできます。そのため、誰でも彼でも手に入れることができるわけではないのですが、、、、(ちょっと前まではヤフ◯クとかに出てたりしたけど)

この報告者は、大量のフェムトセルを所有しているようです。。。

f:id:tansokun920:20190902224114p:plain

どうやら中国のtaobao.comというサイトで購入できるようです。

確かにZTE製のTD-LTEフェムトセルが売りに出ていました。(けど、これ動くんかな…

f:id:tansokun920:20190902232130p:plain

 

フェムトセルは安価だからそんなセキュアじゃないだろ、ということでターゲットにしたようです。(あんま大きな声じゃ言えないけど、そうなんですよね〜…

 

やっていることはいたってシンプルで、root shellアクセスを様々な手段で試みて、フェムトセルの内部に侵入しています。Ethernetポートからであったり、基板上のUART端子だったり、TR-069サーバからパラメータを設定変更したりといろんな手段を使って、各ベンダーのフェムトセルを突破していったようです。

 

f:id:tansokun920:20190902233059p:plain

 

Root shellアクセスすると何が宜しくないかというと、

  • IPSecのKeyゲットして暗号化解除できて通信丸見えにして盗聴できる(IMSI,電話番号, インターネットアクセスの通信全部丸見え)
  • 通信に介在した中間者攻撃ができる
  • 通信事業者設備のコアネットワークへの攻撃ができる

などなど

 

ちなみに国内でも使われている某社製のフェムトセルは既に同じような脆弱性が報告されてCVE番号も付与されていましたね。

 

マクロセルだとこんな風に基板解析したりするのは難しいけど、個宅に置かれちゃうフェムトセルは比較的容易に攻撃される危険がありますね。5GからSmallCellを増やす必要あるけど、こうした対策はどうするのか気になるところです。