LTE语音(VoLTE)是无缝集成到长期演进(LTE)标准中的基于分组的电话服务。到目前为止,所有主要的电信运营商都使用VoLTE。为了保护电话呼叫的安全,VoLTE使用流密码对电话和网络之间的语音数据进行加密。流密码应为每次调用生成唯一的密钥流,以防止密钥流重用问题。
我们引入Reverte,这是一种利用LTE实现缺陷恢复加密VoLTE呼叫内容的攻击。这使得对手能够窃听VoLTE电话呼叫。Reverte利用了Raza&;Lu发现的可预测的密钥流重用。最终,密钥流重用允许对手用最少的资源解密记录的呼叫。
下面,我们将概述反叛攻击及其影响,并论证反叛攻击在商业网络中的可行性。此外,我们还发布了一款应用程序,允许精通技术的人追踪仍然易受攻击的网络。我们的工作将出现在第29届USENIX安全研讨会(2020)上,所有细节都可以在论文的预印本中找到。
反叛攻击利用同一密钥流在一个无线电连接内的两个后续呼叫的重用。该漏洞是由基站(ENodeB)的实现缺陷造成的。为了确定安全漏洞有多普遍,我们测试了一些随机选择的无线小区,主要分布在德国各地,但也包括其他国家。安全漏洞影响了15个基站中的12个。
叛乱攻击的目的是窃听爱丽丝和鲍勃之间的通话。我们将此调用命名为目标调用或第一个调用。为了执行攻击,攻击者在易受攻击的基站的小区内嗅探Alice的加密无线通信量。第一通电话结束后不久,攻击者就打电话给爱丽丝,并与她进行了交谈。我们将第二个调用命名为密钥流调用。对于此呼叫,攻击者嗅探到Alice的加密无线电流量,并录制未加密的声音(已知明文)。
要解密目标调用,攻击者现在必须计算以下内容:首先,攻击者将已知明文(记录在攻击者的手机上)与密钥流调用的密文进行异或运算。因此,攻击者计算密钥流调用的密钥流。由于易受攻击的基站,此密钥流与目标(第一个)呼叫的密钥流相同。在第二步中,攻击者通过将密钥流与第一个调用的密文进行异或来解密第一个调用。需要注意的是,攻击者必须与受害者进行更长时间的对话。他/她与受害者交谈的时间越长,他/她可以解密的先前通信的内容就越多。例如,如果攻击者和受害者交谈了五分钟,则攻击者稍后可以解码前一次对话的五分钟。