該漏洞使得未經(jīng)授權的用戶(hù)有機會(huì )在完成網(wǎng)絡(luò )身份驗證之前,就能對建立鏈路的初始消息當中的要素加以利用。因此,一個(gè)匿名的非授權用戶(hù)可以利用基站廣播信號將消息傳遞給蜂窩覆蓋區域內的另一個(gè)匿名用戶(hù)。
與已知的隱蔽通信技術(shù)相比,這種新型非授權通信技術(shù)利用的是無(wú)線(xiàn)接入基礎設施中的 MAC 層(L2),而不是直接訪(fǎng)問(wèn)物理頻譜(L1)或使用網(wǎng)絡(luò )協(xié)議棧的其他層(L3-L7)。Wiley Online Library表示:“媒體訪(fǎng)問(wèn)控制(MAC)層為上層提供無(wú)線(xiàn)資源分配服務(wù)和數據傳輸服務(wù)。MAC 層的數據傳輸服務(wù)包括執行調度請求、緩沖狀態(tài)報告、隨機接入和混合自動(dòng)重傳請求(HARQ)等。”
該漏洞的正式名稱(chēng)為 CVD-2021-0045,昵稱(chēng) SPARROW。我們已經(jīng)負責任地在 GSMA 協(xié)調漏洞披露計劃中對其進(jìn)行了披露;GSMA 移動(dòng)安全網(wǎng)站 <https://www.gsma.com/security/gsma-mobile-security-hall-of-fame/>也認可了該漏洞。
SPARROW 的發(fā)現過(guò)程
作為是德科技 ATI 研究中心的高級研究員,我的研究方向是信號處理和無(wú)線(xiàn)系統安全。2020 年,我在研究數據滲漏方法的工作過(guò)程中,設想了利用商用通信網(wǎng)絡(luò )中的無(wú)線(xiàn)廣播資源泄露數據的可能性。我意識到,網(wǎng)絡(luò )和互聯(lián)網(wǎng)應用中存在許多威脅場(chǎng)景,其中一部分超出了無(wú)線(xiàn)安全領(lǐng)域所定義的常見(jiàn)威脅。我對漏洞的定義是:在預期的應用范圍之外使用系統的機會(huì )。威脅場(chǎng)景(比如數據滲漏等)對于查找和修補系統及標準中存在的漏洞具有特殊意義。
數據滲漏場(chǎng)景是網(wǎng)絡(luò )安全領(lǐng)域的常見(jiàn)研究課題。惡意行為者可以通過(guò)它來(lái)創(chuàng )建隱蔽的通信方案,從而將受感染系統中的敏感信息泄漏出去。到目前為止,一些廣為人知的數據滲漏技術(shù)利用的是互聯(lián)網(wǎng)應用和網(wǎng)絡(luò )協(xié)議,安全行業(yè)已經(jīng)開(kāi)發(fā)出了針對性的預防措施。根據我對無(wú)線(xiàn)安全的理解,我首先問(wèn)了一個(gè)關(guān)鍵的假設性問(wèn)題。正是這個(gè)問(wèn)題的提出,為我的新發(fā)現奠定了基礎:“如果有人利用商用無(wú)線(xiàn)接入基礎設施的 MAC 層協(xié)議進(jìn)行低成本、低能耗的隱蔽通信會(huì )怎樣?”
商用無(wú)線(xiàn)信號幾乎無(wú)所不在,因此利用它們進(jìn)行數據滲漏的話(huà),就可以繞過(guò)現有的所有預防措施。我沒(méi)有找到任何關(guān)于利用無(wú)線(xiàn) MAC 層(L2)協(xié)議進(jìn)行隱蔽通信的文章,這種疏忽應當歸咎為研究界對隱蔽通信的理解各有不同。網(wǎng)絡(luò )安全研究人員通常將精力集中在利用 L3 到 L7 層協(xié)議的技術(shù)上。在無(wú)線(xiàn)安全領(lǐng)域,隱蔽通信通常指的是使用 L1 層無(wú)線(xiàn)信號的隱蔽廣播,包括能夠利用授權用于商用網(wǎng)絡(luò )的頻譜的 L1 盜版無(wú)線(xiàn)。但是,L2 是什么情況?
我的第一個(gè)研究目標是大家耳熟能詳的 3GPP 標準。 2020 年 2 月,我在 3GPP TS 36.321 標準中發(fā)現了一個(gè)影響 LTE 和 5G 網(wǎng)絡(luò )的漏洞。我將這個(gè)漏洞命名為 SPARROW。它允許匿名的低功耗設備在不連接網(wǎng)絡(luò )的情況下在小區內交換隱蔽的短消息。我們與意大利米蘭的一個(gè)工程團隊一起安排了一次概念驗證。這個(gè)場(chǎng)景于 2020 年 12 月得到驗證。
SPARROW 的危害
基于以下原因,SPARROW 會(huì )對在其他隱蔽通信方式保護下的關(guān)鍵設施構成真正的危險:
- 匿名程度極高:SPRROW 設備在運行時(shí)不與主機網(wǎng)絡(luò )進(jìn)行身份驗證,因此避開(kāi)了暴露給網(wǎng)絡(luò )安全和合法攔截系統以及頻譜掃描儀的風(fēng)險。它們利用的資源非常有限,對主機網(wǎng)絡(luò )服務(wù)的影響非常小。
- 覆蓋面大:利用基站或非地面技術(shù)的廣播功率,SPARROW 設備可以相隔幾英里進(jìn)行通信。如果在稀疏的網(wǎng)狀網(wǎng)絡(luò )中部署幾個(gè)這類(lèi)設備,就可以進(jìn)一步擴大通信范圍。
- 功耗低、操作簡(jiǎn)單:SPARROW 設備可對安裝在商用 SDR 上的現有的協(xié)議實(shí)施資源庫加以利用。它們使用電池供電,或是長(cháng)期從周?chē)h(huán)境中獲取能量,就像真正的麻雀一樣!
以下利用場(chǎng)景值得注意:
- 無(wú)線(xiàn)數據滲漏:SPARROW 設備(可能只有加密狗大小)可能會(huì )成為已知網(wǎng)絡(luò )數據滲漏技術(shù)的有效替代手段。
- 命令與控制:它們可以使用商用通信基礎設施匿名與惡意物聯(lián)網(wǎng)設備遠程通信,觸發(fā)意外事件。
- 秘密活動(dòng):代理能夠與敵對區域的 SPARROW 設備進(jìn)行通信,并且不用廣播明顯的信號或直接訪(fǎng)問(wèn)現有網(wǎng)絡(luò )。
以下是重要收獲:
- 無(wú)線(xiàn) MAC 協(xié)議中的不安全消息可能會(huì )被低成本的用戶(hù)設備用來(lái)進(jìn)行惡意意圖的隱蔽通信。行業(yè)組織在評估安全態(tài)勢時(shí)應當充分考慮到這種新型漏洞。
- 該漏洞長(cháng)期以來(lái)一直未被披露,這一事實(shí)應當引起協(xié)議規范編寫(xiě)人員的足夠重視,縝密考慮在設計階段對重播和廣播的濫用。
- 研究人員應當對其他早期 MAC 協(xié)議開(kāi)展檢查,看看是否存在其他繞過(guò)流量檢驗設備的隱蔽通信方法。
您如何防范網(wǎng)絡(luò )上的這類(lèi)漏洞?針對易受攻擊的無(wú)線(xiàn)標準,我們已經(jīng)開(kāi)發(fā)出一種通用的補救措施。
關(guān)于是德科技
是德科技提供先進(jìn)的設計和驗證解決方案,旨在加速創(chuàng )新,創(chuàng )造一個(gè)安全互聯(lián)的世界。我們在關(guān)注速度和精度的同時(shí),還致力于通過(guò)軟件實(shí)現更深入的洞察和分析。在整個(gè)產(chǎn)品開(kāi)發(fā)周期中,即從設計仿真、原型驗證、自動(dòng)化軟件測試、制造分析,再到網(wǎng)絡(luò )性能優(yōu)化與可視化的整個(gè)過(guò)程中,是德科技能夠更快地將具有前瞻性的技術(shù)和產(chǎn)品推向市場(chǎng),充分滿(mǎn)足企業(yè)、服務(wù)提供商和云環(huán)境的需求。我們的客戶(hù)遍及全球通信和工業(yè)生態(tài)系統、航空航天與國防、汽車(chē)、能源、半導體和通用電子等市場(chǎng)。2021 財年,是德科技收入達 49 億美元。關(guān)于是德科技公司(NYSE:KEYS)的更多信息,請訪(fǎng)問(wèn) www.keysight.com。更多新聞,請登錄是德科技新聞中心:www.keysight.com/go/news。或者掃描是德科技官方微信二維碼,了解更多詳情:
