Skip to main content
QUICK REVIEW

[論文レビュー] LTE security, protocol exploits and location tracking experimentation with low-cost software radio

Roger Piqueras Jover|arXiv (Cornell University)|Jul 18, 2016
Wireless Body Area Networks参考文献 12被引用数 59
ひとこと要約

この論文は、強力な暗号化と相互認証が導入されているにもかかわらず、LTEネットワークがレプリカ基地局およびプロトコルレベルの攻撃に対して依然として脆弱であることを示している。低価格のソフトウェア定義無線(SDR)およびオープンソースのLTE実装を用いて、認証前の暗号化されていない信号交換を悪用し、IMSICatcherを構築し、端末の接続を遮断し、GSMに降格させ、RNTIの変更を介してユーザーを追跡する。これは、LTEの物理層信号交換において、新たな位置追跡ベクトルを明らかにした。

ABSTRACT

The Long Term Evolution (LTE) is the latest mobile standard being implemented globally to provide connectivity and access to advanced services for personal mobile devices. Moreover, LTE networks are considered to be one of the main pillars for the deployment of Machine to Machine (M2M) communication systems and the spread of the Internet of Things (IoT). As an enabler for advanced communications services with a subscription count in the billions, security is of capital importance in LTE. Although legacy GSM (Global System for Mobile Communications) networks are known for being insecure and vulnerable to rogue base stations, LTE is assumed to guarantee confidentiality and strong authentication. However, LTE networks are vulnerable to security threats that tamper availability, privacy and authentication. This manuscript, which summarizes and expands the results presented by the author at ShmooCon 2016 \cite{jover2016lte}, investigates the insecurity rationale behind LTE protocol exploits and LTE rogue base stations based on the analysis of real LTE radio link captures from the production network. Implementation results are discussed from the actual deployment of LTE rogue base stations, IMSI catchers and exploits that can potentially block a mobile device. A previously unknown technique to potentially track the location of mobile devices as they move from cell to cell is also discussed, with mitigations being proposed.

研究の動機と目的

  • 強力な暗号化と相互認証が導入されているにもかかわらず、LTEネットワークに依然残存するセキュリティ脆弱性を調査し、実証すること。
  • 市販のハードウェアとオープンソースツールを用いて、低コストでソフトウェア定義のレプリカLTE基地局を展開可能かどうかを検討すること。
  • 特にRNTIベースの信号交換における、これまで未知であったプロトコルレベルの漏洩を特定・分析し、セルハンドオーバー中に端末を追跡可能にする要因を明らかにすること。
  • 実世界のLTEトラフィックキャプチャを用いて、IMSICatcher、DoS攻撃、GSMソフト降格といった実用的攻撃を実装・検証すること。
  • 特定された脆弱性に対する緩和策を提案すること。具体的には、RNTIの定期的リフレッシュとハンドオーバー開始メッセージの暗号化を含む。

提案手法

  • ニューヨーク市およびホノルルのライブネットワークから実際のLTEラジオリンクトラフィックをキャプチャし、プロトコル解析を実施した。
  • オープンソースのLTEスタック実装であるopenLTEを用いて、レプリカeNodeBを構築・設定した。
  • 低価格のソフトウェア定義無線ハードウェア(例:USRP)を用いて、LTEブロードキャスト信号(eNBブロードキャスト)のスキャンおよび模倣を実施した。
  • 認証前の段階で交換される暗号化されていないコントロールプレーンメッセージを悪用し、UEをレプリカ基地局に接続させることに成功した。
  • 未認証のアタッチ手順で送信されるIMSIMessageをキャプチャ・ログ記録することで、IMSICatcherを実装した。
  • 特定のEMM原因コードを含むアタッチリジェクトメッセージを送信することで、DoS攻撃を実装し、端末が正当なネットワークに接続できないようにした。
  • ハンドオーバーイベント中にRNTIの変更をモニタリングし、物理層測定値と相関させることで、新たな位置追跡技術を実証した。
  • 信号フィンガープrintアルゴリズムを用いて、RNTIベースの追跡の有効性を評価した。この手法では、RNTIの再割り当て後でさえ、デバイスを新しいRNTIに98.4%の精度でマッピングできた。

実験結果

リサーチクエスチョン

  • RQ1LTEにおける認証前の暗号化されていない信号交換は、どの程度レプリカ基地局の展開やユーザー情報の盗聴に悪用可能か?
  • RQ2低コストのソフトウェア定義無線プラットフォームを用いて、最小限のハードウェアで機能的かつ隠密なLTE IMSICatcherを実装可能か?
  • RQ3LTEネットワークにおいて、端末の遮断およびGSMへの静黙的降格を可能にするプロトコルレベルの脆弱性は何か?
  • RQ4LTEの物理層信号交換におけるRNTI信号を用いて、これまで未知の方法で複数の基地局をまたいでモバイル端末を追跡する方法はあるか?
  • RQ5RNTIの定期的リフレッシュやハンドオーバー開始メッセージの暗号化といった、提案された緩和策は、これらの攻撃に対してどの程度効果的か?

主な発見

  • 認証前の段階で、多数のLTEコントロールプレーンメッセージがプレーンテキストで送受信されているため、レプリカ基地局が正当なeNodeBを模倣可能である。
  • 市販のソフトウェア定義無線ハードウェアとopenLTEを用いて、2000ドル未満の予算でIMSICatcherを成功裏に実装した。
  • EMM原因コードを変更したアタッチリジェクトメッセージを操作することで、デバイスの遮断およびGSMへの静黙的降格攻撃を実証した。
  • ハンドオーバー中にRNTIの変更を活用するという、新たな位置追跡技術を発見した。この技術により、ユーザーがセル間を移動する際の追跡が可能となった。
  • 信号フィンガープrintアルゴリズムを用いたRNTIベースの追跡法は、RNTIの再割り当て後でさえ、デバイスを新しいRNTIに98.4%の精度でマッピングできた。
  • 強力な暗号化と相互認証が導入されているにもかかわらず、認証前の段階におけるプロトコルレベルの欠陥が、LTEセキュリティにおける主要な攻撃ベクトルのまま残存していることが明らかになった。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。