Categorías
Artículos & noticias Privacidad & seguridad

REVOLTE ATTACK

Un nuevo ataque permite a los hackers desencriptar el cifrado VoLTE para espiar las llamadas telefónicas.

Un equipo de investigadores académicos -que ya fue noticia a principios de este año por haber hecho Problemas de seguridad en las redes 4G LTE y 5G ha revelado- ha dado a conocer hoy un nuevo ataque llamado «ReVoLTE» que permite a los atacantes descifrar el cifrado de las llamadas de voz VoLTE y espiar las llamadas dirigidas.

El ataque no explota una vulnerabilidad en el protocolo de Voz sobre LTE (VoLTE), sino que aprovecha la débil implementación de la red móvil LTE en la mayoría de los proveedores de telecomunicaciones en la práctica, lo que permite a un atacante escuchar las llamadas telefónicas cifradas de las víctimas objetivo.

VoLTE, o Protocolo de Voz sobre Evolución a Largo Plazo, es un estándar de comunicaciones inalámbricas de alta velocidad para teléfonos móviles y terminales de datos, incluidos los dispositivos del Internet de las Cosas (IoT) y los wearables que utilizan la tecnología inalámbrica 4G LTE.

El quid de la cuestión es que la mayoría de los operadores de telefonía móvil suelen utilizar el mismo flujo de claves para dos llamadas consecutivas dentro de un enlace de radio para cifrar los datos de voz entre el teléfono y la misma estación base, es decir, la torre celular.

El nuevo ataque ReVoLTE aprovecha así la reutilización del mismo flujo de claves por parte de las estaciones base vulnerables, lo que permite a los atacantes descifrar el contenido de las llamadas de voz soportadas por VoLTE en el siguiente escenario.

Sin embargo, la reutilización de un flujo de claves predecible no es nueva y fue propuesta por primera vez por Raza & Lu pero el ataque ReVoLTE lo convierte en un ataque práctico.

¿Cómo funciona el ataque ReVoLTE?

Para iniciar este ataque, el atacante debe estar conectado a la misma estación base que la víctima y colocar un sniffer de enlace descendente para monitorizar y grabar una «llamada dirigida» de la víctima a otra persona, que posteriormente debe ser descifrada, como parte de la primera fase del ataque ReVoLTE.

Una vez que la víctima cuelga la «llamada dirigida», el atacante se ve obligado a llamar a la víctima, normalmente en un plazo de 10 segundos inmediatamente, obligando a la red vulnerable a iniciar una nueva llamada entre la víctima y el atacante a través del mismo enlace de radio utilizado por la anterior llamada dirigida.

«La reutilización del flujo de claves se produce cuando el destino y la llamada del flujo de claves utilizan la misma clave de cifrado del plano de usuario. Dado que esta clave se actualiza para cada nueva conexión de radio, el atacante debe asegurarse de que el primer paquete de la llamada del flujo de claves llegue dentro de la fase activa después de la llamada de destino», dijeron los investigadores.

Una vez establecida la conexión, la segunda fase requiere que el atacante entable una conversación con la víctima y la grabe en texto plano, lo que posteriormente le ayudaría a calcular de forma inversa el flujo de claves utilizado en la siguiente llamada.

Según los investigadores, el XOR de las secuencias de claves con el correspondiente fotograma encriptado de la llamada objetivo grabada en la primera fase descifra su contenido, lo que permite a los atacantes espiar la conversación que mantuvo su víctima en la llamada anterior.

«Como esto da lugar al mismo flujo de claves, todos los datos RTP se cifran de la misma manera que los datos de voz de la llamada de destino. Una vez que se ha generado una cantidad suficiente de datos del flujo de claves, el atacante aborta la llamada», dice el documento.

Sin embargo, la longitud de la segunda llamada debe ser mayor o igual a la de la primera para poder descodificar cada trama; de lo contrario, sólo podrá descodificar una parte de la conversación.

«Es importante tener en cuenta que el agresor debe entablar una conversación más larga con la víctima. Cuanto más tiempo haya hablado con la víctima, más contenido de la comunicación anterior podrá descifrar», dice el documento.

«Cada fotograma está asociado a un recuento y cifrado con un flujo de claves individual, que extraemos durante el cálculo del flujo de claves. Dado que el mismo recuento genera el mismo flujo de claves, el recuento sincroniza los flujos de claves con las tramas cifradas de la llamada de destino. Al XORar las secuencias de claves con la trama cifrada correspondiente, se descifra la llamada de destino».

«Como nuestro objetivo es descifrar toda la llamada, la llamada del flujo de claves debe ser tan larga como la llamada de destino para entregar un número suficiente de paquetes, de lo contrario sólo podremos descifrar una parte de la llamada».

La detección y demostración de los ataques ReVoLTE

Para demostrar la viabilidad práctica del ataque ReVoLTE, el equipo de científicos de la Ruhr-Universität Bochum implementó una versión de extremo a extremo del ataque dentro de una red comercial vulnerable y teléfonos comerciales.

El equipo utilizó el analizador de enlaces descendentes Airscope de Software Radio System para capturar el tráfico cifrado y tres teléfonos basados en Android para recuperar el texto plano conocido en el teléfono del atacante. A continuación, comparó las dos conversaciones grabadas, determinó la clave de cifrado y, finalmente, descifró parte de la conversación anterior.

https://youtube.com/watch?v=FiiELuFvwu0%3Fautoplay%3D0%26mute%3D0%26controls%3D1%26origin%3Dhttps%253A%252F%252Fwww.anti-interception.com%26playsinline%3D1%26showinfo%3D0%26rel%3D0%26iv_load_policy%3D3%26modestbranding%3D1%26enablejsapi%3D1%26widgetid%3D1

Puedes ver el vídeo de demostración del ataque ReVoLTE que, según los investigadores, cuesta menos de 7.000 dólares para configurar y finalmente descifrar el tráfico de enlace descendente.

El equipo probó una serie de células de radio seleccionadas al azar en toda Alemania para determinar el alcance del problema y descubrió que 12 de las 15 estaciones base de Alemania estaban afectadas, pero los investigadores dijeron que la vulnerabilidad también afecta a otros países.

Los investigadores notificaron a los operadores de estaciones base alemanes afectados el ataque ReVoLTE a principios de diciembre de 2019 como parte del Programa Coordinado de Divulgación de Vulnerabilidades de la GSMA, y los operadores pudieron desplegar los parches en el momento de la publicación.

Dado que el problema también afecta a un gran número de proveedores en todo el mundo, los investigadores han desarrollado una aplicación para Android de código abierto llamada «Mobile Sentinel» que puede utilizar para determinar si su red 4G y sus estaciones base son vulnerables al ataque ReVoLTE.

Los investigadores -David Rupprecht, Katharina Kohls y Thorsten Holz, de la Ruhr-Universität Bochum, y Christina Pöpper, de la NYU Abu Dhabi- también desarrollaron un sitio web propio y un trabajo de investigación (PDF) titulado «Call Me Maybe: Eavesdropping Encrypted LTE Calls With REVOLTE» en el que se detalla el ataque ReVoLTE y en el que se pueden encontrar más detalles.

Fuente