¿Llamadas “seguras” por WIFI?
¿Crees que el WiFi es seguro? ¿Conoce los peligros y las posibilidades de espionaje del WiFi? Si no es así, ahora es el momento de descubrirlo. Leer más
El nuevo ataque permite a los hackers descifrar el cifrado VoLTE para espiar las llamadas telefónicas.
Un equipo de investigadores académicos -que fueron noticia a principios de este año por descubrir graves problemas de seguridad en las redes 4G LTE y 5G– ha presentado hoy un nuevo ataque denominado “ReVoLTE” que permite a los atacantes descifrar el cifrado de las llamadas de voz VoLTE y espiar las llamadas dirigidas.
El ataque no explota una vulnerabilidad en el protocolo de voz sobre LTE (VoLTE), sino que aprovecha la débil implementación de la red móvil LTE en la mayoría de los proveedores de telecomunicaciones en la práctica, lo que permite a un atacante escuchar las llamadas telefónicas cifradas de las víctimas seleccionadas.
VoLTE, o Protocolo de Voz sobre Evolución a Largo Plazo, es un estándar de comunicaciones inalámbricas de alta velocidad para teléfonos móviles y terminales de datos, incluidos dispositivos del Internet de las Cosas (IoT) y wearables que utilizan la tecnología inalámbrica 4G LTE.
El quid de la cuestión es que la mayoría de los operadores móviles suelen utilizar el mismo flujo de claves para dos llamadas consecutivas dentro de una conexión inalámbrica para cifrar los datos de voz entre el teléfono y la misma estación base, es decir, la torre de telefonía.
Así pues, el nuevo ataque ReVoLTE aprovecha la reutilización del mismo flujo de claves por parte de las estaciones base vulnerables, lo que permite a los atacantes descifrar el contenido de las llamadas de voz compatibles con VoLTE en el siguiente escenario.
Sin embargo, la reutilización de un flujo de claves predecible no es nueva y fue demostrada por primera vez por Raza & Lu, pero el ataque ReVoLTE lo convierte en un ataque práctico.
Para iniciar este ataque, el atacante debe estar conectado a la misma estación base que la víctima y colocar un sniffer de enlace descendente para vigilar y grabar una “llamada selectiva” realizada por la víctima a otra persona que deba descifrarse posteriormente, como parte de la primera fase del ataque ReVoLTE.
Una vez que la víctima cuelga la “llamada selectiva”, el atacante debe llamar a la víctima, normalmente en un plazo inmediato de 10 segundos, lo que obligaría a la red vulnerable a iniciar una nueva llamada entre la víctima y el atacante en la misma conexión de radio utilizada por la llamada selectiva anterior.
“La reutilización del flujo de claves se produce cuando el objetivo y la llamada de flujo de claves utilizan la misma clave de cifrado del plano de usuario. Como esta clave se actualiza para cada nueva conexión de radio, el atacante debe asegurarse de que el primer paquete de la llamada keystream llega dentro de la fase activa después de la llamada de destino”, dijeron los investigadores.
Una vez conectado, como parte de la segunda fase, el atacante necesita entablar una conversación con la víctima y grabarla en texto plano, lo que le ayudaría más tarde a calcular inversamente el flujo de claves utilizado en la llamada posterior.
Según los investigadores, la combinación XOR del flujo de claves con el fotograma cifrado correspondiente de la llamada capturada en la primera fase descifra su contenido, lo que permite a los atacantes escuchar la conversación que mantuvo la víctima en la llamada anterior.
“Como esto da como resultado el mismo flujo de claves, todos los datos RTP se cifran de la misma forma que los datos de voz de la llamada objetivo. En cuanto se genera una cantidad suficiente de datos de flujo de claves, el adversario cancela la llamada”, se lee en el documento.
Sin embargo, la longitud de la segunda llamada debe ser mayor o igual que la de la primera para poder descifrar cada fotograma; de lo contrario, sólo podrá descifrar una parte de la conversación.
“Es importante señalar que el atacante tiene que entablar con la víctima una conversación más larga. Cuanto más tiempo hable con la víctima, más contenido de la comunicación anterior podrá descifrar”, se lee en el documento.
“Cada fotograma se asocia a un recuento y se cifra con un flujo de claves individual que extraemos durante el cálculo del flujo de claves. Como el mismo recuento genera el mismo flujo de claves, el recuento sincroniza los flujos de claves con los fotogramas cifrados de la llamada objetivo. XOR-ing los keystreams con el correspondiente marco cifrado descifra la llamada objetivo.”
“Como nuestro objetivo es descifrar la llamada completa, la llamada keystream debe ser tan larga como la llamada objetivo para proporcionar un número suficiente de paquetes, ya que de lo contrario sólo podremos descifrar una parte de la conversación.”
Para demostrar la viabilidad práctica del ataque ReVoLTE, el equipo de académicos de la Universidad Ruhr de Bochum implementó una versión de extremo a extremo del ataque en una red comercial vulnerable y con teléfonos comerciales.
El equipo utilizó el analizador de enlace descendente Airscope de Software Radio System para interceptar el tráfico cifrado y tres teléfonos con Android para obtener el texto plano conocido en el teléfono del atacante. A continuación, comparó las dos conversaciones grabadas, determinó la clave de cifrado y, por último, descifró una parte de la llamada anterior.
Puede ver el vídeo de demostración del ataque ReVoLTE, que, según los investigadores, podría costar menos de 7.000 dólares a los atacantes para configurar el ataque y, finalmente, descifrar el tráfico de enlace descendente.
El equipo probó una serie de células de radio seleccionadas al azar en toda Alemania para determinar el alcance del problema y descubrió que afecta a 12 de las 15 estaciones base alemanas, pero los investigadores afirmaron que la brecha de seguridad también afecta a otros países.
Los investigadores notificaron a los operadores de estaciones base alemanes afectados sobre el ataque ReVoLTE a través del proceso del Programa Coordinado de Divulgación de Vulnerabilidades de la GSMA a principios de diciembre de 2019, y los operadores lograron desplegar los parches en el momento de la publicación.
Dado que el problema afecta también a un gran número de proveedores de todo el mundo, los investigadores han publicado una aplicación Android de código abierto, llamada “Mobile Sentinel“, que puede utilizarse para detectar si su red 4G y sus estaciones base son vulnerables o no al ataque ReVoLTE.
Los investigadores -David Rupprecht, Katharina Kohls y Thorsten Holz, de la Universidad RUB de Bochum, y Christina Pöpper, de la NYU de Abu Dhabi- también han publicado un sitio web específico y un documento de investigación en PDF, titulado “Call Me Maybe: Eavesdropping Encrypted LTE Calls With REVOLTE”, en el que se detalla el ataque ReVoLTE y se ofrecen más detalles.
¿Crees que el WiFi es seguro? ¿Conoce los peligros y las posibilidades de espionaje del WiFi? Si no es así, ahora es el momento de descubrirlo. Leer más
¿Recuerdas nuestras advertencias sobre el uso de VPN y las vulnerabilidades de seguridad que tienen todas las VPN? Ahora esto: El FBI advierte: Esta vulnerabilidad de día cero en el software VPN fue explotada por hackers APT.
¿Es buena la distorsión de voz? Averigüe hasta qué punto la distorsión de voz es realmente útil para la interceptación. ¿De verdad quiere protegerse? Lea este artículo