Onderzoekers kunnen VoLTE-gesprekken afluisteren door verkeerde implementatie

Duitse onderzoekers hebben een kwetsbaarheid ontdekt in de implementatie van het VoLTE-protocol voor bellen via 4g. Daarmee kunnen ze versleutelde telefoongesprekken afluisteren. De aanval is praktisch lastig uit te voeren.

De onderzoekers van de Ruhr Universiteit in Duitsland noemen de aanval ReVoLTE, en presenteren hun whitepaper op de Usenix-beveiligingsconferentie. De onderzoekers beschrijven hoe zij met een kwetsbaarheid in het Voice-over-LTE-protocol een versleuteld gesprek kunnen afluisteren. Dat kan niet bij alle providers en de onderzoekers moeten in de buurt zijn van het slachtoffer.

De kwetsbaarheid zit in de mobiele zendmasten waar VoLTE-gesprekken over lopen. VoLTE-gesprekken lopen over 4g, en zijn normaal gesproken versleuteld. Een provider moet voor ieder gesprek een aparte encryptiesleutel aanmaken. Volgens de onderzoekers maken veel providers echter gebruik van dezelfde stream-cipher op de basisstations van een zendmast of zijn de sleutels met een voorspelbaar algoritme te achterhalen. Daardoor is het mogelijk een versleuteld gesprek af te tappen en dat later te ontsleutelen.

Een aanvaller moet daarvóór eerst zelf een gesprek houden met een slachtoffer. Dat moet bovendien gebeuren op dezelfde zendmast als waarop een versleuteld gesprek plaatsvindt. Tijdens dat gesprek kan de encryptiesleutel worden achterhaald. Daarbij is de lengte van een gesprek belangrijk; als een aanvaller en een slachtoffer twee minuten bellen kan de aanvaller achteraf twee minuten van een ander onderschept gesprek afluisteren.

Volgens de onderzoekers kan de aanval worden uitgevoerd met apparatuur die zo'n 6.000 euro kost zoals een imsi-catcher. Daarnaast zijn telefoons en de interceptiesoftware Airscope nodig. De onderzoekers zeggen dat ze een demonstratie van de aanval hebben uitgevoerd op een commercieel netwerk in Duitsland. Daarmee willen ze laten zien dat de aanval praktisch uit te voeren is.

Het is niet bekend welke telecomproviders allemaal last hebben van dezelfde kwetsbaarheid. De onderzoekers hebben het lek bij de GSMA gemeld. In Duitsland zouden providers het probleem inmiddels hebben opgelost.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 13-08-2020 09:48
21 • submitter: azerty

13-08-2020 • 09:48

21

Submitter: azerty

Lees meer

ACM: 112 is nu bij alle Nederlandse providers te bereiken via VoLTE en VoWIFI
ACM: 112 is nu bij alle Nederlandse providers te bereiken via VoLTE en VoWIFI Nieuws van 11 februari 2022
'Huawei kon rond 2009 ongehinderd meeluisteren met alle mobiele KPN-klanten'
'Huawei kon rond 2009 ongehinderd meeluisteren met alle mobiele KPN-klanten' Nieuws van 17 april 2021
Diverse telefoons tonen 5g-icoon bij 4g-verbinding in Nederland - update
Diverse telefoons tonen 5g-icoon bij 4g-verbinding in Nederland - update Nieuws van 26 juni 2020
KPN zal 5g geen frequenties laten delen met 4g zoals concurrent Vodafone
KPN zal 5g geen frequenties laten delen met 4g zoals concurrent Vodafone Nieuws van 1 mei 2020
Meer producten en artikelen
Beveiliging en antivirus VoLTE

Reacties (21)

-Moderatie-faq
21
20
14
3
0
0
Wijzig sortering
Trommelrem 13 augustus 2020 10:05
Daarbij is de lengte van een gesprek belangrijk; als een aanvaller en een slachtoffer twee minuten bellen kan de aanvaller achteraf twee minuten van een ander onderschept gesprek afluisteren.
Ik moest stiekem lachen toen ik dit las. In Hollywood moet je de boef minutenlang aan de telefoon houden zodat je het gesprek kunt traceren. Het Amerikaanse SWAT team kan dan binnen 2 minuten wereldwijd worden gedeployed en de boef pakken. In werkelijkheid kun je het gesprek traceren zonder te wachten en zelfs nadat je hebt opgehangen. En een SWAT team kan natuurlijk niet ineens een minuut later in Paaseiland opduiken. Dat je nu twee minuten kunt decrypten als je eerst twee minuten een gesprek met een boef hebt gevoerd is natuurlijk wel grappig :)

[Reactie gewijzigd door Trommelrem op 26 juli 2024 03:37]

Maurits van Baerle @Trommelrem13 augustus 2020 10:32
Toen ik een jaar of vijftien was werden wij bedreigd, onder meer telefonisch, en toen werd er een trace op onze lijn geplaatst. De instructies van de politie waren om juist als eerste op te hangen en daarna moesten we direct een bepaald nummer bellen en werd het automatisch getraceerd. Dit is ook alweer dertig jaar geleden dus tegenwoordig gaat het waarschijnlijk vol automatisch.

Maar inderdaad, het zal niet het enige ding zijn waar Amerikaanse films en televisieseries niet erg accuraat zijn (een pistool afvuren met één hand, schieten vanuit een rijdende auto, auto's die ontploffen als je er op schiet, 'password override' knopjes naast een password veld, de cursor die gereflecteerd wordt in iemands gezicht, eindeloos inzoomen op foto's, zo'n beetje alles wat er in CSI voorbij komt, gigantisch dure politie inzet voor een relatief kleine zaak etc.)
P8ter @Maurits van Baerle13 augustus 2020 12:50
Mij werd in de jaren '60 verteld dat het in seconden kon, maar dat Hollywood-studios op verzoek van de FBI altijd een twee-minuten-fabeltje inbouwden. Zo zouden boeven in het echt eenvoudiger te pakken zijn. Filmmakers deden elkaar ook nog eens na omdat men dacht dat het zo hoorde. Zal wel broodje aap verhaal zijn, maar het maakte wel indruk op me.
_Pussycat_ @P8ter13 augustus 2020 14:31
Vechten tegen de klok is natuurlijk ook een goedkope manier wat spanning toe te voegen.
Blokker_1999
@Maurits van Baerle13 augustus 2020 11:28
Hoeveel realistischer wil je het hebben? https://www.youtube.com/watch?v=hkDD03yeLnU
TheVivaldi @Maurits van Baerle13 augustus 2020 12:09
Een pistool afvuren met één hand kan prima, alleen ben je dan minder accuraat, dus in politieseries is het inderdaad nogal overdreven, net zoals de kogelcartridge erin rammen i.p.v. er zachtjes in duwen en schieten met het pistool zijwaarts om stoer te doen :P

Maar schieten vanuit een rijdende auto gebeurt in het echt ook wel eens en grote politie-inzet bij kleine zaken ook (in ieder geval hier in Nederland al een aantal keer gebeurd de afgelopen jaren), dus dat zijn geen mythes. De rest inderdaad wel :P
Verwijderd @Trommelrem13 augustus 2020 11:52
In de jaren 80 is het telefonie netwerk gedigitaliseerd en nu is call tracing een fluitje van een cent, voor de digitalisering was het een hele klus.

"The Slender Thread" uit 1965 heeft een scene die laat zien wat er in die tijd voor nodig was om telefoonnummer te achterhalen.

https://www.youtube.com/watch?v=oeDCT5UXkfw

[Reactie gewijzigd door Verwijderd op 26 juli 2024 03:37]

K-aroq @Verwijderd13 augustus 2020 12:20
Voor de digitalisering kon je gewoon een probe in een analoge kabel prikken om mee te luisteren.
Verwijderd @K-aroq13 augustus 2020 12:51
Dat kan nog steeds. Na de digitalisering van het telefonie netwerk was de verbinding van de telefoon naar de centrale nog steeds analoog. Als er gebruik gemaakt wordt van ISDN of IP telefonie dan is de verbinding van telefoon naar centrale wel digitaal.
latka @Trommelrem13 augustus 2020 10:26
Ja, maar in Hollywood bouncen ze het telefoongesprek via allerlei satellieten en andere landen (zonder vertraging op de lijn) zodat het traceren lastiger word :+
Blokker_1999
@latka13 augustus 2020 11:29
Met een mooi grafiekje erbij van hoe de trace aan het vorderen is.
WhatsappHack
@Blokker_199913 augustus 2020 11:54
Dat is ‘t mooiste inderdaad. Als ze wetem hoe ver ze zijn, dan moeten ze het eindpunt al geweten hebben :P Of zullen we ze excuseren en er vanuitgaan dat ie evengoed opeens van 33 naar 100 zou kunnen springen of minutenlang op 99% kan blijven hangen ;)
mancide @Trommelrem13 augustus 2020 12:17
Bij GSM is het vrij simpel.
Van zodra je de ringtoon hoort weet de provider op welke mast(en) je zit. Voeg daar de signaalsterkte bij en je hebt op enkel tientallen meter na een locatie...
K-aroq @mancide13 augustus 2020 12:22
Dat kan alleen maar als de juiste software in het netwerk zit. In de praktijk is die software er niet omdat de wettelijke verplichting nog steeds niet verder gaat dan locatiebepaling op celniveau. En die nauwkeurigheid van tientallen meters is alleen mogelijk met LTE en 5G NR driepuntsmetingen. Met GSM is de best mogelijke nauwkeurigheid eerder in de orde van honderden meters.

Bron: ik heb bijdragen geleverd aan de EU standardisatie.
pe0mot 13 augustus 2020 10:42
Dezelfde sleutel gebruiken voor meerdere gesprekken. Hoe dom kun je zijn.
Laat me raden, 1 bepaald merk waarvan de default configuratie bagger is?

Edit: even de pdf gelezen en 12 van de 15 nodes zijn kwetsbaar. Of we daaruit kunnen afleiden dat het om 2 van de 3 vendors gaat is niet mogelijk, dit omdat het onderzoek niet laat zien welke vendors or telco het betreft. Het kan dus een fout in de uitrol geweest zijn, herstel is ondertussen (tussen maart 2020 en nu) gedaan dus het kan firmware of configuratie zijn.
Ook leuk om te weten dat er nu een Android App is om de basestations te testen.
Basestation test Android root

[Reactie gewijzigd door pe0mot op 26 juli 2024 03:37]

ACM Software Architect @pe0mot13 augustus 2020 11:32
Op het moment dat je relatief vaak zo'n sleutel moet genereren, kan ik me voorstellen dat je kijkt of er manieren zijn om dat efficiënter te doen. Per gebruiker een tijdje lang een vaste sleutel hanteren kan dan een onschuldige optimalisatie lijken.

Ik heb overigens verder geen idee achter de motivatie van deze implementatie en ook niet of het daadwerkelijk efficiënter zou zijn om die sleutels op gebruikers-basis te cachen (als er gemiddeld maar 1 gesprek per dag komt, verspil je waarschijnlijk flink wat geheugen).
djwice @ACM13 augustus 2020 20:48
Op TLS gebruiken we normaal Forward Secrecy (FS) ciphers zonder zijn zwak of kwetsbaar gebleken.

Interessant in deze context is wellicht HTTP/3 (h3) welke via UTP een handshake doet én bij herhaalt bezoek al een level of trust met de cliënt heeft, dus minder handshake nodig is.

Wellicht leuk om de protocollen zoals in het artikel te vergelijken en hoe dát wel (of niet?) veilig kan zijn. En of de implementatie fout wellicht ook bij http/3 servers zou kunnen gaan voorkomen.

Kort gezegd; bij elke cliënt moet de sleutel dus echt anders zijn, gezien de trust. En moet de sleutel ook veranderen zoals bij FS.
In de praktijk zie je dat niet elke OPS dat begrijpt op het niveau dat hij/zij er het belang van inziet. Je ziet vaak genoeg webservers die de standaard key gebruiken - a well known key by everyone .. zeg maar gelijk aan het default password gebruiken op een productie systeem.

[Reactie gewijzigd door djwice op 26 juli 2024 03:37]

FooLsKi @ACM13 augustus 2020 11:44
Inderdaad, je wil je signalling zo efficient mogelijk houden en je core zo min mogelijk belasten.
kwibus 13 augustus 2020 11:21
Zet zo'n artikel als dit in de krant en er komt geheid een demonstratie van ;) Gaan ze straks naast de 5G ook de 4G masten neerhalen.

Het is al lang een feit dat in verscheidene IT Laboratoria de meest complexe hacks uitgevoerd zijn. Zelfs laptopbatterijen zijn al gehackt, puur omdat het kan. Dat wil niet zeggen dat het in de praktijk bruikbaar is.

Voor wat betreft privacy en veiligheid: Welk systeem je ook voorgeschoteld krijgt van Overheid, Werkgever, Provider of Techfirm, het is bijna altijd wel te traceren of te hacken wat je aan het doen bent.
mutley69 13 augustus 2020 18:57
Er is gegodverd in het NSA en het witte huis...

[Reactie gewijzigd door mutley69 op 26 juli 2024 03:37]

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq