我們盯上了 Sparrow

我們發現了一種新方法能夠利用 LTE 和 5G 中的 MAC 層協議，通過使用其他人的網絡進行遠程通信。這個新發現的 LTE/5G MAC 層協議標準中的漏洞很可能會影響到其他的無線寬帶標準。該漏洞可讓未經授權的設備通過服務提供商的基礎設施匿名交換短消息。雖然目前它對 Wi-Fi 網絡的影響還不是很大，但是隨著蜂窩覆蓋范圍從一個房間擴展到更遠距離，它必將成為一個值得關注的大問題。

該漏洞使得未經授權的用戶有機會在完成網絡身份驗證之前，就能對建立鏈路的初始消息當中的要素加以利用。因此，一個匿名的非授權用戶可以利用基站廣播信號將消息傳遞給蜂窩覆蓋區域內的另一個匿名用戶。

與已知的隱蔽通信技術相比，這種新型非授權通信技術利用的是無線接入基礎設施中的 MAC 層（L2），而不是直接訪問物理頻譜（L1）或使用網絡協議棧的其他層（L3-L7）。Wiley Online Library 表示：“媒體訪問控制（MAC）層為上層提供無線資源分配服務和數據傳輸服務。MAC 層的數據傳輸服務包括執行調度請求、緩沖狀態報告、隨機接入和混合自動重傳請求（HARQ）等。”

該漏洞的正式名稱為 CVD-2021-0045，昵稱 SPARROW。我們已經負責任地在 GSMA 協調漏洞披露計劃中對其進行了披露；GSMA 移動安全網站也認可了該漏洞。

SPARROW 的發現過程

作為是德科技 ATI 研究中心的高級研究員，我的研究方向是信號處理和無線系統安全。2020 年，我在研究數據滲漏方法的工作過程中，設想了利用商用通信網絡中的無線廣播資源泄露數據的可能性。我意識到，網絡和互聯網應用中存在許多威脅場景，其中一部分超出了無線安全領域所定義的常見威脅。我對漏洞的定義是：在預期的應用范圍之外使用系統的機會。威脅場景（比如數據滲漏等）對于查找和修補系統及標準中存在的漏洞具有特殊意義。

數據滲漏場景是網絡安全領域的常見研究課題。惡意行為者可以通過它來創建隱蔽的通信方案，從而將受感染系統中的敏感信息泄漏出去。到目前為止，一些廣為人知的數據滲漏技術利用的是互聯網應用和網絡協議，安全行業已經開發出了針對性的預防措施。根據我對無線安全的理解，我首先問了一個關鍵的假設性問題。正是這個問題的提出，為我的新發現奠定了基礎：“如果有人利用商用無線接入基礎設施的 MAC 層協議進行低成本、低能耗的隱蔽通信會怎樣？”

商用無線信號幾乎無所不在，因此利用它們進行數據滲漏的話，就可以繞過現有的所有預防措施。我沒有找到任何關于利用無線 MAC 層（L2）協議進行隱蔽通信的文章，這種疏忽應當歸咎為研究界對隱蔽通信的理解各有不同。網絡安全研究人員通常將精力集中在利用 L3 到 L7 層協議的技術上。在無線安全領域，隱蔽通信通常指的是使用 L1 層無線信號的隱蔽廣播，包括能夠利用授權用于商用網絡的頻譜的 L1 盜版無線。但是，L2 是什么情況？

我的第一個研究目標是大家耳熟能詳的 3GPP 標準。 2020 年 2 月，我在 3GPP TS 36.321 標準中發現了一個影響 LTE 和 5G 網絡的漏洞。我將這個漏洞命名為 SPARROW。它允許匿名的低功耗設備在不連接網絡的情況下在小區內交換隱蔽的短消息。我們與意大利米蘭的一個工程團隊一起安排了一次概念驗證。這個場景于 2020 年 12 月得到驗證。

SPARROW 的危害

基于以下原因，SPARROW 會對在其他隱蔽通信方式保護下的關鍵設施構成真正的危險：

●   匿名程度極高：SPRROW 設備在運行時不與主機網絡進行身份驗證，因此避開了暴露給網絡安全和合法攔截系統以及頻譜掃描儀的風險。它們利用的資源非常有限，對主機網絡服務的影響非常小。

●   覆蓋面大：利用基站或非地面技術的廣播功率，SPARROW 設備可以相隔幾英里進行通信。如果在稀疏的網狀網絡中部署幾個這類設備，就可以進一步擴大通信范圍。

●   功耗低、操作簡單：SPARROW 設備可對安裝在商用 SDR 上的現有的協議實施資源庫加以利用。它們使用電池供電，或是長期從周圍環境中獲取能量，就像真正的麻雀一樣！

以下利用場景值得注意：

●   無線數據滲漏：SPARROW 設備（可能只有加密狗大小）可能會成為已知網絡數據滲漏技術的有效替代手段。

●   命令與控制：它們可以使用商用通信基礎設施匿名與惡意物聯網設備遠程通信，觸發意外事件。

●   秘密活動：代理能夠與敵對區域的 SPARROW 設備進行通信，并且不用廣播明顯的信號或直接訪問現有網絡。

以下是重要收獲：

●   無線 MAC 協議中的不安全消息可能會被低成本的用戶設備用來進行惡意意圖的隱蔽通信。行業組織在評估安全態勢時應當充分考慮到這種新型漏洞。

●   該漏洞長期以來一直未被披露，這一事實應當引起協議規范編寫人員的足夠重視，縝密考慮在設計階段對重播和廣播的濫用。

●   研究人員應當對其他早期 MAC 協議開展檢查，看看是否存在其他繞過流量檢驗設備的隱蔽通信方法。

您如何防范網絡上的這類漏洞？針對易受攻擊的無線標準，我們已經開發出一種通用的補救措施。