--- tags: 倉庫 --- # The Dark Side of Operational Wi-Fi Calling Services {%pdf https://www.egr.msu.edu/~mizhang/papers/2018_CNS_WiFiCalling.pdf %} ## 研究問題 VoWiFi安全性弱點的探究與防治(暫) ## VoWiFi 弱點  ### V1 無法排除不安全WiFi AP + 在manual mode使用者可自行選擇欲連線之優先wifi-network； + 在automatic mode使用ANDSF(Access network discovery and selection function)來選擇之。 上述兩者皆無考慮wifi-network的安全性。 #### 驗證弱點的存在(利用ARP spoofing攻擊): + 在攔截來自發送者的封包後，攻擊者仍可發送此封包給原接收者，並且檢視或丟棄此封包等動作。 + 所有測試wifi裝置在受ARP Spoofing攻擊下，皆無受到中斷。 #### Solution: + For V1 & V2:監督wifi-calling訊號品質來測出是否正承受攻擊，一旦有測出，則提醒使用者做出決定(更換wifi network或轉為傳統基地台訊號)。 + 此外，服務業者也可更新ANDSF與RAN來排除惡意wifi networks。 + For V4 : 觸發srvcc/DRVCC不但可提升訊號品質，更可檢測一些攻擊所導致訊號品質降低。 (若v1, v2, v4皆可防治，v3則不存在) ### V2 ARP spoofing/poisoning + 所有的測試wifi都受到ARP spoofing的攻擊。 + 攻擊者將ARP spoofing消息發送到區域網並結合他的mac地址、default gateway IP，如此一來能夠攔截受害者的封包。 + 攻擊者可以利用這種spoofing技術來攔截所有屬於wifi通訊設備的數據包。 + 透過測試來判斷設備是否可以抵擋ARP spoofing攻擊 + 採用一種叫EtterCap的工具來偽造ARP訊息，並且讓一部電腦作為網路的default gateway ，而連接到網路中所有wifi通訊設備，並觀察 + 就會發現這些設備接收了攻擊者攜帶的ARP指令，然後數據包就會發送到電腦中。因此電腦可以攔截所有在wifi上呼叫的數據包。 ### Solution + 升級wifi通訊標準 - 因為wifi通話的流量可能會跨及公共wifi或是不安全的網路，因此我們目的並非在確保operator無法使用公共的wifi網路控制而是去識別不安全的wifi網路以及可能的wifi呼叫攻擊，再去採去措施，像是切換到蜂窩型網路。 > **昇峰** > 詢問相同區網下的其他裝置，Default gateway對應Mac Address是否正確，通訊可用高一點的層次去核對區網內的裝置。 > 如：以IPsec丟出詢問封包 ### V3 電信業者泄露使用者個資 #### IPsec UE與ePDG之間使用IPsec溝通的服務，目前來說就只有VoWiFi。因此只要觸及UE到ePDG中的任一Router，掃描流經機器的所有封包，包括離使用者最近、最具不確定性的WiFi AP，都可以將VoWiFi封包從封包流裡分離出來。 :::info **驗證** 掃描UE發出的封包，可以清楚的看到SIP（Session initial Protocal）封包、ESP(Encapsulating Security Payload)封包簡單的被辨識出來，在UE與ePDG之間傳送。 ::: #### Terms of VoWiFi 因此根據VoWiFi服務事件不同，得以藉由分析封包的長度，瞭解雙邊使用者正處於使用電話服務中的那個狀態（如:撥號、響鈴、接通、掛斷），泄漏了使用者的隱私。 :::info **驗證** 應用 C4.5 algorithm 訓練神經模型，餵入通話20次的所有擷取封包，已能100％辨識VoWiFi所有通話事件，不僅於原測試手機上成功，訓練好的模型在不同手機、不同載體上也能達到百分之百的正確。 ::: #### Solution IPsec封包容易辨識的問題無法解決，但可以使用VPN tunnel來加以包裝，讓VoWiFi服務流量與其他常見的服務流量融合，難以辨識。 處理封包長度與通話事件之間顯而易見的對應關係，藉由修改VoWiFi協定，在協定中加入隨機長度資訊來混淆視聽，或擴充或壓縮特定事件的封包長度，讓全部或部分的事件封包難以辨識，也可達到部分效果。 ### V4 VoWiFi的切換僅以訊號強度作爲唯一考量 使用VoWiFi或是傳統蜂巢式網路的考量點，只有目前連上WiFi AP的訊號強度而已，一旦訊號強度良好，不論這個WiFi是否有實質上的連網能力，UE都不會自動切換回蜂巢網路，就算所有VoWiFi封包都被丟棄傳遞不出去也是一樣。因此，路徑上任一Router的惡意丟包都將輕易造成不良的通話品質。 :::info **驗證** 實驗 ::: ## 衍生之攻擊方式 1. Annoying-Incoming-Call Attack 2. Zombie-Call Attack 3. Mute Call Attack 4. Telephony Denial-of-Voice-Service Attack  --- 資料來源： The Dark Side of Operational Wi-Fi Calling Services