ToRPEDO: попал или мимо?

Можно соглашаться или спорить о том, где в наше время проходит граница приватности, и какие данные можно безопасно доверять всевозможным «большим братьям» вроде Google, Facebook или других интернет-игроков. Но, как правило, тревога поднимается либо в ситуации, когда за утечкой следует прямая атака — неважно, компьютерная или относящаяся к социальной инженерии, или при неожиданном на первый взгляд векторе утечки. Обсуждаемый в данной статье набор угроз относится к обеим категориям сразу.

Опубликованное описание атаки на протоколы мобильных сетей 4G и 5G звучит в этом смысле многообещающе. Поддельные телефонные звонки, оповещения о чрезвычайных ситуациях и просто определение текущего местоположения — всё это представлено в совместной работе исследователей из Университета Пердью и университета штата Айова. Презентация была явлена широкой публике на Всемирном мобильном конгрессе в Барселоне. Рассмотрим исследованный механизм подробнее.

Один из ответственных моментов при проектировании телефона — баланс между выполнением базовых функций (приём звонков и смс) и энергопотреблением. Пока телефон не используется, он должен как можно меньше разряжать аккумулятор, но входящий звонок должен немедленно пробуждать устройство. Достигается это специальным протоколом пейджинга (paging protocol). Уязвимости в протоколе позволяют осуществить несколько атак. Основная уязвимость, получившая название ToRPEDO (от TRacking via Paging mEssage DistributiOn, отслеживание по распространению сообщений пейджинга), позволяет определить текущее местоположение устройства. Кроме отслеживания, можно организовать на телефон DoS-атаку (то есть воспрепятствовать получению нормальных звонков и смс), направляя специально сконструированные сообщения. Вторая атака — PIERCER (от Persistent Information ExposuRe by the CorE netwoRk, постоянная выдача информации базовой сетью), позволяет по номеру телефона определить IMSI-код абонента и уже прицельно организовывать слежку. По протоколам IMSI-код посылается в сеть как можно реже, чтобы избежать подобных атак, поэтому его раскрытие представляет собой угрозу.

Для атаки, однако, надо знать примерное местонахождение жертвы. Делая несколько звонков и отслеживая временный код TMSI — временный аналог IMSI — можно убедиться, что абонент присутствует в зоне покрытия выбранной базовой станции сотовой сети. Побочным эффектом анализа сообщений, идущих по протоколу пейджинга, стала возможность отождествления конкретного абонента с пользователем твиттера. При этом выясняются 7 из 31 бита IMSI-номера. Остальные атаки направлены на выяснение оставшихся 24 бит. Тут проблема возникает уже на уровне сотовых операторов, которые передают непосредственно IMSI, а не его временный эквивалент. Два разных механизма атаки используют особенности протоколов 4G и 5G и позволяют выяснить IMSI с помощью перебора, правда, это займёт довольно много времени.

В некоторых случаях перебора не требуется: после нескольких попыток достучаться по TMSI в сеть уходит и реальный IMSI. Правда, для этой активной атаки приходится вмешиваться в канал, для чего потребуется поддельная базовая станция. К сожалению, среди уязвимых к атакам выяснения IMSI в исследовании фигурирует, по крайней мере, один неназванный российский сотовый оператор. Правда, он в хорошей компании: такие же проблемы найдены у двух китайских, одного американского и нескольких европейских операторов.

Перспективы практического осуществления атаки не выглядят особенно привлекательными для массового применения. Оборудование для осуществления атаки ToRPEDO стоит порядка 200 долларов, для определения IMSI-кода — около 400, но в обоих случаях оно должно присутствовать в каждой ячейке сотовой сети, где находится абонент. Сам абонент не должен замечать атаки — то есть не пользоваться в момент осуществления атаки своим гаджетом, иначе велик шанс, что атака будет замечена. Но это не значит, что новые варианты атаки не окажутся более практичными, или что вариации на тему PIERCER и ToRPEDO не будет целесообразно применять при атаках на конкретного человека. Практические атаки на базе опубликованных материалов пока тоже не продемонстрированы, хотя статья появилась ещё в декабре прошлого года. Ну и понятно, что в лучшем случае можно определить базовую станцию, в зоне обслуживания которой находится жертва.

По оценкам специалистов, пока такие атаки не по силам киберпреступникам — организовать такую атаку могут только спецслужбы. Но если жертва привлекла внимание спецслужб, то у них в арсенале найдутся и более надёжные способы добиться того же результата.


Автор:  Дмитрий Белявский (ТЦИ)

Возврат к списку