今天为大家推荐的论文是来自Mobicom 2024的IMS is Not That Secure on Your 5G/4G Phones,由密歇根大学Guan-Hua Tu完成并投稿。
摘要
本文对 IP 多媒体子系统(IP Multimedia Subsystem, IMS)在当前 5G/4G 移动设备上的安全性进行了详细分析。IMS 是在移动网络中利用IP 技术提供多媒体通信服务(如语音、视频通话和SMS短信)的核心系统。尽管 3GPP 在过去二十年里不断更新 IMS 系统以增强其安全性,使其能够支持 4G LTE、5G NR 以及 Wi-Fi 等多种无线接入网络,但主要的安全性增强集中于网络基础设施,而手机设备端的 IMS 安全性未能及时升级。
这种差异导致了设备端(如Android手机)出现许多新的安全漏洞和攻击途径。本文揭示了四个新的漏洞,并开发了三个概念验证攻击,展示了这些漏洞的潜在威胁:
NameSpoofing攻击,一种短信欺骗攻击,可以任意伪造发送者的名称,这在网络中是被禁止的 (如图1)。
图1 NameSpoofing攻击效果
DoS-ALL攻击,一种新型的拒绝服务攻击(DoS),可以阻止IMS客户端通过Wi-Fi、4G LTE和5G NR访问所有接入网络(如图2)。
图2 DOS-ALL攻击效果。IMS services over Wi-Fi(左),4G (中),和5G (右)
IMS 的架构与安全概述
图3 (a)5G/4G 移动网络架构与(b)安全; (c)移动终端架构与漏洞。
5G/4G移动网络架构分为控制平面和用户平面(图3 (a)),用户流量从用户设备(User Equipment,UE, 包含SIM卡)经过无线接入网络到核心网络,最终进入互联网或IMS。控制平面管理用户的注册、认证和移动性,而用户平面通过多个IP流支持不同的服务质量(QoS)等级,以保障多媒体服务和移动宽带服务的性能。
5G/4G的安全架构分为应用、服务和传输三层 (图3 (b)),具有四个安全域以保障不同的通信安全。该架构显示,应用和移动设备之间的访问缺乏明确的保护。
移动设备(User Equipment,ME)架构由软件和硬件组成(图3 (c)),其中软件部分包括操作系统和应用程序,应用程序分为IMS和非IMS应用。硬件部分包括应用处理器和蜂窝调制解调器,调制解调器提供蜂窝协议支持,并通过TFT(Traffic Flow Template)功能将数据包与指定的IP流关联。
图4 IMS服务信令流
在 IMS 中,信令消息用于建立、维护和终止 IMS 会话,如短信和电话(图4)。
漏洞与攻击分析
1. 漏洞 V1:IMS 信令路由未保护
IMS 信令缺乏严格的路由保护,攻击者可以将信令消息重定向到非 IMS 服务器,导致设备无法与 IMS 服务器正常通信。这一漏洞主要由以下原因造成:
Linux根据目标IP查询路由表,以找到最佳匹配项并做出路由决策。“本地”路由表的优先级高于IMS信令路由表(图5)。
图5 Routing Policy Database(RPDB)中路由表的查询优先级。
接下来研究利用了两个发现:
发现1. 攻击者是否可以向本地表添加路由规则?可以,我们可以通过VPN或Wi-Fi接口向本地表插入规则。
发现2. 攻击者是否可以将IMS服务器IP分配给VPN/Wi-Fi接口?可以,恶意VPN可以使用Java API,而恶意Wi-Fi可以使用DHCP (图6)。
图6 Local路由表中添加VPN网络接口,并分配IMS服务器地址
攻击方式:利用这一漏洞,攻击者可以配置用户的 Wi-Fi 或 VPN 网络接口,使其指向 IMS 服务器的 IP 地址。而研究人员发现,IMS 服务器的 IP 地址在一个区域内十分稳定有限,而同一个网络接口可以同时被分配多个IP地址。这样一来,所有的 IMS 信令消息都被重定向,导致设备无法正常使用 IMS 服务(DoS-ALL攻击)。实验表明,在多个 Android 系统版本和不同运营商的网络中,这种攻击都能实现。
2. 漏洞 V2:IMS 信令来源无限制
IMS 信令在实现上依赖于双向的 IPsec 安全关联(Security Associations,简称 SA),其目的是保护信令消息的加密性和完整性。然而,研究表明,IMS 标准并未规定信令消息必须来自 IMS 服务器,这意味着恶意应用可以向 IMS 客户端发送伪造的信令消息。因此研究发现,Android 8及以下版本手机,可从任意地址向IMS client发送伪造的信令消息(如SMS)。Android 8以上版本手机虽然会检查是否从IMS server地址发送,但利用漏洞v1可以绕过该安全机制。
攻击方式:实际中,这一漏洞可以被用来进行短信来源伪造攻击(NameSpoofing),攻击者可以伪造短信的发送者,使其显示特定的昵称,从而增加攻击的隐蔽性和欺骗性。
例如,攻击者可以在短信发送者字段中填入“认证自 Verizon 的 Mark Zuckerberg”,使接收者误以为这条信息是由合法的IMS服务器发出的(如图7)。
图7 IMS信令伪造短信并显示任意发送者名字
3. 漏洞 V3:IMS 视频数据传输不安全
本文研究发现,IMS 在视频数据传输中没有使用加密保护机制,导致视频数据在传输过程中处于明文状态(图9)。并且不同于语音数据由硬件部分控制从modem直接传输到基站,视频数据流是从应用处理器(Application Processor)中生成的,有root情况下,可轻易被恶意应用劫持。
图8 IMS视频数据以明文传输
攻击方式:攻击者可以使用 IMS 视频通道传输非视频数据,而不易被网络发现。例如,恶意用户可以通过伪造视频数据包,将敏感数据放入伪造视频数据包中。
4. 漏洞 V4:IMS 视频数据来源无限制
研究还发现,设备端的调制解调器无法验证从应用处理器过来的 IMS 视频数据的来源。因为流量流模板(Traffic Flow Template,TFT),基于五元组(源/目标IP地址、源/目标端口号、协议ID)信息将数据包与每个指定的IP流关联。而这五个元素可以用IP Spoofing被轻易伪造。这意味着,IMS 视频会话中可以注入由非 IMS 客户端发起的数据包。
攻击方式:利用此漏洞,攻击者可以绕过 IMS 视频传输的安全机制,以隐蔽的方式传输大量非视频数据,将敏感数据发送至远端,绕过运营商的监控(图9)。与普通数据通道不同,IMS 视频通道具有更高的传输优先级和稳定性,攻击者因此可以在拥塞环境中继续隐蔽通信。
图9 ViIMS-ANY攻击示意图
解决方案与评估
针对这些漏洞,我们提出了符合 3GPP 标准的应对方案,以改善 IMS 的整体安全性。
1. 限制 IMS 路由
针对漏洞 V1 和 V2,研究人员提出了限制 IMS 路由的解决方案。该解决方案包括以下两方面:
(1)禁止本地网络接口使用 IMS 服务器的 IP 地址:确保 IMS 信令消息只能通过指定的 IMS 服务器传输,避免信令被恶意程序拦截。
(2)阻止本地应用与 IMS 客户端直接通信:手机系统应当强制限制 IMS 信令的路由,确保所有 IMS 消息来源合法,避免恶意应用伪造信令。
2. 保护 IMS 媒体会话
研究人员建议在 IMS 客户端和调制解调器之间建立安全通信通道,以保护 IMS 视频数据的来源真实性。采用基于 DHKE(Diffie-Hellman Key Exchange)的密钥交换协议,通过利用原有的IMS安全通信通道,在 IMS 客户端和调制解调器之间建立共享的加密密钥,以保护 IMS 视频数据的端到端安全性。这种方法确保即使设备被恶意控制,通信安全性依然能够得到保证。
结论
尽管 IMS 在基础设施层面的安全性已经取得显著进展,设备端的安全性尚未得到足够关注,暴露出多种安全风险。本文分析了设备端的 IMS 安全漏洞并提出了相应的解决方案。我们已将所有已识别的漏洞报告给相关方,包括移动操作系统供应商、手机制造商和运营商。同时,也向他们提供了建议的补救措施。Google, Samsung正在积极修复相关问题。未来,手机制造商、网络运营商和标准化组织需共同努力,进一步提高 IMS 的设备端安全性,确保用户通信的隐私和安全。
https://www.researchgate.net/publication/380996237_IMS_is_Not_That_Secure_on_Your_5G4G_Phones