Black Hat 2021

# Black Hat 2021 >[name= 感謝Orage大大給的學生票] ## 1. 5G IMSI Catchers Mirage [2] ### Introduction >[name=原以為會是一個很潮的演講，但如標題 Mirage...] > （跳過前面的發展願景跟科普知識）首先，UE 為了拿到網路服務，需要跟 Core Network 表明自己的身份（IMSI/SUPI）並完成驗證。如下圖，但升級服務並不會更換 SIM 卡，所以安全性還是和 4G 差不多，有一篇[論文](https://www.ndss-symposium.org/wp-content/uploads/ndss2021_6B-4_24365_paper.pdf)提出了可行的解決方式。 ![](https://i.imgur.com/elHY1k7.png) 升級到 5G 後，原先的 IMSI 將改為 SUPI 並加密為 SUCI，再將 SUCI 發送給 Core Network，捨棄了原先 UE 與 CN 第一次溝通時，會將 IMSI 直接以明文形式發送，5G 將不會以明文的形式傳送 SUPI，具體的加密方式如下： ![](https://i.imgur.com/qZkmXkG.png) ### UE Registration 接著看看 UE 和 CN 註冊的過程(23.501): ![](https://i.imgur.com/h5TIK6d.jpg) 1. UE 第一次註冊時，用存在 SIM 卡裡的 Public Key 將 SUPI 加密為 SUCI，並發送 Request 2. AMF 把 SUCI 丟給AUSF和UDM（DB）做驗證，在這邊解密出 SUPI 後回傳給AMF 3. AMF 根據 SUPI 生成一個 5G-GUTI，然後回傳給 UE 並註冊完成 4. 下一次註冊時 UE 就會使用 5G-GUTI 發 Request 給 AMF，AMF 會根據 5G-GUTI 找到對應的 SUPI，然後完成驗證; 若 AMF 找不到對應的 SUPI，就會發 Request 給 UE 請求SUCI，然後重複步驟1~3 ### Result 並且 5G 在 Paging 時用到的 5G-S-TMSI 和 5G-GUTI，都將會強制更新，不像LTE時期會用同一個 GUTI 來發 Paging 大約三天。 ![](https://i.imgur.com/6Yq3GlN.png) 一切看起來都很安全，但在一個前提下這些防護功能都會瞬間消失，就是我們無法自己選擇是否要自動降為 LTE ，因為手機都沒有提供這個功能，這大概也是講者主要想表達的危機，攻擊者可以利用降維攻擊使 UE 強迫回到 LTE ，如此就又可以拿到 IMSI 了。 ## 2. Over The Air BasebandExploit: Gaining RemoteCode Execution on 5G Smartphones [1] ### Introduction 他們把手機用來處理有關天線射頻服務的元件 BaseBand 的 Firmware 提取出來並對他逆向，發現某些手機在這方面的防護非常薄弱，利用其中沒有做 Stack Cookie 導致可以 Overflow the buffer 的缺失，控制存儲在 Stack 中的 Retuen Address，並獲得 Code Execution ，更改手機的裝置編號（ IMEI ）。且 Buffer 大小是由 OTA message 告知，所以大小也取決於 Server (攻擊者?)。 IMS 就是通話或簡訊時會用到的服務，BaseBand 就是該服務的客戶端，於是想達到這個攻擊就需要自己建構一個 SDR 並用自己燒錄的 SIM 卡與其完成驗證後，在這個 SDR 上建立 IMS Server 並發一個會讓手機 Stack Overflow 的 XML payload。所以他不像一般我們做的攻擊，他需要過驗證後才能觸發這個漏洞，但一般的惡意基地台是無法與商用手機完成驗證的，因為我們沒有解密的 Key。 ### SIP Message 建立 SDR 的話是以 Open5GS + srseNB 完成，手機是 Vivo 的，IMS Server 會以發送 SIP Message 來和 moedm 進行溝通，以下是一個 Example : ![](https://i.imgur.com/lbOs6Eq.jpg) 可以得知 SIP 是一個 text-based，類似HTTP，會有標頭和內文，然後客戶端的 BaseBand 會解析這些訊息，而這個 SIP 的內文就可以是 XML 的格式。 ### Vulnerability 於是要發一個會讓你 Stack Overflow 的 payload： ![](https://i.imgur.com/B7hS92k.jpg) 塞一堆Ａ之後再將要執行的 Shell code 放在他的後面，流程如下： ![](https://i.imgur.com/o2xw7Av.jpg) Payload 以 100 個字節“A”開頭，然後是 stack 中保存的暫存器 R4-R11。然後真正的 ROP-Chain 從 stack 中復制 shellcode 並最終跳轉到 Shellcode。 ### Result 這個很酷，雖說不能算是攻擊，因為需要和受害者過驗證才能觸發，是一個揭露 BaseBand 安全性相當薄弱的研究，每支手機的防護性也會不盡相同，可能其他手機又有其他的 BUG，讓我好奇手機中有沒有其他像 BaseBand 這樣值得研究的元件。 ## References [1] M. Grassi and X. Chen, “Over the air baseband exploit: Gainingremote code execution on 5G smartphones,” inProc. 2021 BlackHat USA, Aug. 2021. [2] R. Borgaonkar, “5G IMSI catchers mirage,” inProc. 2021 BlackHat USA, Aug. 2021.