新的攻击让黑客解密VoLTE加密来监听电话

一个学术研究团队—；谁曾因揭露4G LTE和5G网络中的严重安全问题而在今年早些时候登上头条—；今天出现了一个新的攻击叫做反抗“这可能会让远程攻击者破坏VoLTE语音通话使用的加密，并监视目标电话。

该攻击没有利用LTE（VoLTE）协议中的任何缺陷；相反，它实际上利用了大多数电信提供商对LTE移动网络的薄弱实施，允许攻击者窃听目标受害者的加密电话。

VoLTE或Voice over Long Term Evolution protocol是一种用于移动电话和数据终端（包括物联网（IoT）设备和可穿戴设备）的标准高速无线通信，采用4G LTE无线接入技术。

问题的关键在于，大多数移动运营商通常在一个无线电连接内的两个后续呼叫中使用相同的密钥流来加密手机和同一基站（即移动电话塔）之间的语音数据。

因此，新的REVERSE攻击利用易受攻击的基站重复使用相同的密钥流，允许攻击者在以下场景中解密VoLTE供电语音呼叫的内容。


然而，可预测密钥流的重用并不是什么新鲜事，Raza&；但是叛乱的攻击使它变成了实际的攻击。

反抗攻击是如何运作的？

要发起此攻击，攻击者必须与受害者连接到同一基站，并放置下行链路嗅探器，以监视和记录受害者向其他人发出的“目标呼叫”，作为反抗攻击第一阶段的一部分，该呼叫稍后需要解密。

一旦受害者挂断“目标呼叫”，攻击者需要立即呼叫受害者，通常是在10秒钟内，这将迫使易受攻击的网络在受害者和攻击者之间以之前目标呼叫使用的相同无线电连接发起新的呼叫。

研究人员说：“当目标和密钥流调用使用相同的用户平面加密密钥时，就会发生密钥流重用。由于该密钥会针对每个新的无线电连接进行更新，攻击者必须确保密钥流调用的第一个数据包在目标调用后的活动阶段内到达。”。

一旦连接，作为第二阶段的一部分，攻击者需要让受害者参与对话并以明文记录，这将有助于攻击者稍后反向计算后续通话使用的密钥流。

据研究人员称，用第一阶段捕获的目标通话的相应加密帧对密钥流进行异或解密，可以让攻击者监听受害者在上一次通话中的对话。

文章写道：“由于这会产生相同的密钥流，所有RTP数据都会以与目标通话语音数据相同的方式进行加密。一旦生成足够的密钥流数据，对手就会取消通话。”。

然而，为了解密每个帧，第二次调用的长度应该大于或等于第一次调用；否则，它只能解密对话的一部分。

文章写道：“需要注意的是，攻击者必须与受害者进行更长时间的对话。他/她与受害者交谈的时间越长，他/她可以解密的上一次通信内容就越多。”。

“每个帧都与一个计数相关联，并使用我们在密钥流计算期间提取的单个密钥流进行加密。当相同的计数生成相同的密钥流时，该计数会将密钥流与目标调用的加密帧同步。将密钥流与相应的加密帧进行异或运算将解密目标调用。”

“由于我们的目标是解密完整的调用，密钥流调用必须与目标调用一样长，才能提供足够数量的数据包，否则我们只能解密对话的一部分。”

侦测叛乱攻击和示威

为了证明反叛攻击的实际可行性，波鸿鲁尔大学的学者团队在一个商业、易受攻击的网络和商业手机中实施了一个端到端版本的攻击。

该团队使用软件无线电系统的下行链路分析仪Airscope嗅探加密流量，并使用三部基于Android的手机获取攻击者手机上的已知明文。然后，它比较了两次录制的对话，确定了加密密钥，最后解密了前一次通话的一部分。


你可以看到反抗攻击的演示视频，据研究人员称，攻击者设置攻击并最终解密下行流量的成本可能不到7000美元。

该团队在德国各地对随机选择的多个无线小区进行了测试，以确定问题的范围，发现德国15个基站中有12个受到影响，但研究人员表示，安全差距也影响到其他国家。

2019年12月初，研究人员通过GSMA协调漏洞披露计划流程将反叛攻击通知了受影响的德国基站运营商，运营商在发布补丁时成功部署了补丁。

由于这一问题也影响到世界范围内的大量提供商，研究人员发布了一款名为“Mobile Sentinel”的开源Android应用程序，可以用来检测他们的4G网络和基站是否容易受到反叛攻击。

研究人员—；波鸿鲁布大学的戴维·鲁普雷希特、凯瑟琳·科尔斯和托尔斯滕·霍尔茨以及纽约大学阿布扎比分校的克里斯蒂娜·珀尔—；他们还发布了一个专门的网站和研究论文PDF，题为“Call Me Maybe：用Reverse窃听加密的LTE呼叫”，详细介绍了Reverse攻击，在那里你可以找到更多细节。