??

[[194579]]

近年來，4G VoLTE在全球移動通訊領(lǐng)域正逐漸普及流行，目前已經(jīng)成為大多數(shù)歐美地區(qū)和亞洲國家的發(fā)展趨勢。而最近，法國安全公司 P1 security通過報告方式詳細(xì)羅列了一長串關(guān)于4G VoLTE通話技術(shù)的安全問題。報告闡述了可以利用VoLTE協(xié)議漏洞對用戶進行遠程攻擊，并能成功實現(xiàn)手機號碼欺騙、手機用戶地理位置定位以及IMEI信息獲取等。

VoLTE簡介

VoLTE即Voice over LTE，它是一種新興的IP數(shù)據(jù)傳輸技術(shù)，無需2G/3G網(wǎng)，全部業(yè)務(wù)承載于4G網(wǎng)絡(luò)上，可實現(xiàn)數(shù)據(jù)與語音業(yè)務(wù)在同一網(wǎng)絡(luò)下的統(tǒng)一。換言之，4G網(wǎng)絡(luò)下不僅僅提供高速率的數(shù)據(jù)業(yè)務(wù)，同時還提供高質(zhì)量的音視頻通話，后者便需要VoLTE技術(shù)來實現(xiàn)。VoLTE是架構(gòu)在4G網(wǎng)絡(luò)上全IP條件下的端到端音視頻語音方案，其用戶體驗明顯優(yōu)于傳統(tǒng)語音。自2013年以來，我國國內(nèi)各大運營商便紛紛試運行VoLTE業(yè)務(wù)，各運營商之間業(yè)務(wù)范圍基本已實現(xiàn)全國覆蓋，VoLTE技術(shù)在未來將成為通話領(lǐng)域的發(fā)展趨勢。

簡單來說，VoLTE可以算是LTE、GSM和VoIP的混合，是一種互聯(lián)網(wǎng)語音通信技術(shù)，該技術(shù)協(xié)議最早于2012年在韓國和新加坡首先推出試行，由于其融合了傳統(tǒng)穩(wěn)定的電路交換協(xié)議和現(xiàn)代高質(zhì)高速的IP通信協(xié)議，后來，隨著其不斷的發(fā)展完善，逐漸就在各國普及流行開來。

P1 security的研究發(fā)現(xiàn)

VoLTE算得上一種全球通用的通話協(xié)議，且在世界各國都有相應(yīng)的運營商在部署使用。出于安全目的， P1 security的技術(shù)專家對VoLTE開展了一系列的安全審計和技術(shù)研究，最終，他們發(fā)現(xiàn)，在使用Andriod手機接入移動通信網(wǎng)絡(luò)的情況下，可以通過VoLTE協(xié)議實現(xiàn)對用戶的遠程攻擊入侵和地埋位置跟蹤定位，這是一個非常嚴(yán)重的漏洞。

P1 security研究人員表示，他們已經(jīng)發(fā)現(xiàn)兩種漏洞，分別為“主動型”需要修改SIP數(shù)據(jù)包的漏洞，以及不需要修改SIP數(shù)據(jù)包，但通過被動網(wǎng)絡(luò)監(jiān)測導(dǎo)致數(shù)據(jù)泄露的“被動型”漏洞。以下是P1 security團隊研究報告中對VoLTE存在問題的一些總結(jié)：

1. 通過SIP邀請信息進行用戶枚舉

當(dāng)用戶之間的手機通過VoLTE發(fā)起會話時，會話發(fā)起協(xié)議(SIP)的邀請消息便會成為第一種消息在用戶間實現(xiàn)交換。在會話發(fā)起人和接收人之間，這些消息會通過所有支持這種會話類型的移動網(wǎng)絡(luò)設(shè)備。

研究人員聲稱，處于同一移動網(wǎng)絡(luò)內(nèi)的攻擊者可以發(fā)送經(jīng)事先修改過的SIP邀請消息，對移動服務(wù)供應(yīng)商進行暴力猜解，最終能得到該移動網(wǎng)絡(luò)內(nèi)的VoLTE用戶信息。

2. 會話描述協(xié)議(SDP)中的數(shù)據(jù)免費交換

當(dāng)VoLTE網(wǎng)絡(luò)不啟動負(fù)責(zé)計費的呼叫詳細(xì)記錄(CDR)模塊的條件下，該漏洞允許VoLTE用戶間進行數(shù)據(jù)交換，如通話記錄、短信、移動數(shù)據(jù)等。

??

在過去，也有其它研究人員發(fā)現(xiàn)了VoLTE網(wǎng)絡(luò)中的免費數(shù)據(jù)交換通道，但這種方法前提需要利用SIP和實時傳輸協(xié)議RTP消息實現(xiàn)CDR繞過。

而P1 security團隊發(fā)現(xiàn)，在VoLTE網(wǎng)絡(luò)中，攻擊者可以利用SIP和SDP消息創(chuàng)建一種不能監(jiān)控發(fā)現(xiàn)的數(shù)據(jù)交換通道。對合法監(jiān)聽(監(jiān)視)來說，這是一個問題，因為這種方法可能會被犯罪嫌疑人利用，創(chuàng)建隱蔽數(shù)據(jù)通信通道進行違法通信，形成監(jiān)控空白。

3. 利用SIP邀請消息進行用戶身份欺騙

攻擊者通過在SIP邀請消息中修改某些頭標(biāo)記，以此偽造成其它用戶手機號碼進行通話。一般來說，只要通話發(fā)起人發(fā)起的SIP邀請消息格式正確，移動網(wǎng)絡(luò)基礎(chǔ)設(shè)施不會對其進行驗證，尤其是通話發(fā)起人身份。

??

P1 security研究人員警告稱，這將是一個嚴(yán)重的問題，可能導(dǎo)致攻擊者入侵其它用戶的語音信箱，或犯罪份子以此制造號碼偽裝，對執(zhí)法部門監(jiān)控行為造成干擾。

雖然有些場景在報告中沒有提及，但可以想像，比如一些詐騙者通過這種方法冒充合法公司聯(lián)系電話，對客戶進行密碼和PINs等其它敏感信息進行電話詐騙。

4. 對VoLTE通信設(shè)備指紋和拓?fù)溥M行發(fā)現(xiàn)

攻擊者利用Android智能手機接入VoLTE網(wǎng)絡(luò)后，通過監(jiān)測流經(jīng)手機的VoLTE通話流量，就可識別出移動服務(wù)運營商使用的VoLTE基礎(chǔ)設(shè)備的網(wǎng)絡(luò)指紋信息。根據(jù)P1 security研究團隊報告，這些移動運營商非常詳細(xì)的網(wǎng)絡(luò)設(shè)置數(shù)據(jù)，當(dāng)手機接入移動網(wǎng)絡(luò)之后，可以在手機接收到名為“200 OK”的消息流量中發(fā)現(xiàn)。

研究人員建議移動運營商需要對 “200 OK”消息頭進行審查，把其中涉及到VoLTE通信的設(shè)備信息刪除，防止攻擊者發(fā)現(xiàn)和繪制通信網(wǎng)設(shè)備拓?fù)?，避免攻擊者對移動運營商發(fā)起或?qū)嵤┢渌臉?gòu)造的深度攻擊。

5. 泄露通話接收者的IMEI信息

研究人員通過監(jiān)測發(fā)起VoLTE通話的Android智能手機流量后發(fā)現(xiàn)，在用戶間建立通話連接之前，會進行一些中介性消息的交換，這些消息可以泄露通話接收者的IMEI信息。

IMEI：國際移動設(shè)備身份碼，由15位數(shù)字組成的”電子串號”，它與每臺移動電話機一一對應(yīng)，是手機設(shè)備的唯一辨識碼，與計算機的MAC類似。

這些中介性消息是名為”183 Session Progress” 的SIP消息，下圖顯示了通話建立之前，它們在VoLTE網(wǎng)絡(luò)中進行正常連接時的位置：

??

研究人員稱，由于這種攻擊不需雙方建立通話連接，所以攻擊者可以在撥打電話過程中一旦收集獲取到對方IMEI信息后，就可以立即掛斷電話。

6. 泄露通話用戶包括地理位置在內(nèi)的更多個人信息

與上述攻擊類似，研究人員還發(fā)現(xiàn)，相同的”183 Session Progress” SIP消息也可以泄漏關(guān)于受害者的更詳細(xì)的信息。

這種信息存儲在”183 Session Progress” SIP消息頭的另一部分區(qū)塊中，包含了受害者的通用移動通信系統(tǒng)地面無線接入網(wǎng)基站位置標(biāo)識符(UTRAN CELLID)的詳細(xì)信息，該標(biāo)識符是用戶手機設(shè)備天線接入移動網(wǎng)絡(luò)的唯一標(biāo)識，其中CELLID為用戶手機附近移動基站的位置編號，結(jié)合經(jīng)緯度等其它信息，可以對手機用戶進行精確的地理位置定位。

換句話說，攻擊者可以用此方法對受害者發(fā)起“幽靈呼叫”，檢測受害者的大致位置，并在建立電話通話之前掛斷電話。下圖為UTRAN CELLID格式：

??

總結(jié)

對于后兩種攻擊，研究小組建議，移動運營商應(yīng)該在通信頂端架構(gòu)對183會話的SIP消息頭進行弱化或安全審查，只讓它們在一些必要的VoLTE通話支持基礎(chǔ)設(shè)施中出現(xiàn)，而不應(yīng)該通過終端用戶手機。而另據(jù)媒體報道，2015年被發(fā)現(xiàn)的VoLTE語音信箱漏洞到現(xiàn)在也還沒被修復(fù)。悲慘的手機和懶惰的移動服務(wù)運營商，誰來背VoLTE漏洞這個鍋?

更多關(guān)于VoLTE漏洞的信息，請查看P1 security團隊報告《??在Anriod手機上利用4G VoLTE進行用戶遠程定位和跟蹤??》，該報告于6月初在一年一度的法國雷恩信息技術(shù)和通信安全研討會上被公布。