VoLTE (Voice-over-LTE) là giải pháp giọng nói chomạng di động LTE, và
đang được tiến hành triển khai trên toàn thế giới. Nó làm lại dịch vụ cuộc gọi từ
chuyển mạch kênh truyền thốngcho viễn thông thành chuyển mạch gói cho Internet
VoIP. Trong phần này, chúng ta tiến hành nghiên cứu về an ninh VoLTE. Cónhiều
lỗ hổng trong cả hai mặt phẳngđiều khiển và mặt phẳng dữ liệu, có thể bị khai thác
để phá vỡ cả dữ liệu vàthoạitrong mạng lưới hoạt động. Đặc biệt, chúng ta thấy rằng
các đối thủ có thể dễ dàng truy cập dữ liệu miễn phí, tắt truy cập dữ liệuliên tục, hoặc
chinh phục một cuộc gọi đang diễn ra, vv ... [5],[6].
Các nguy cơ trong VoLTE
V1. Lỗ hổng của điều khiển truy cập của phần cứng và phần mềm điện thoại:
Điều khiển truy cập trong mặt phẳng điều khiển giúp đảm bảo các độc quyền của nó được sử dụng bởi các tín hiệu VoLTE đích thực. Tuy nhiên, nhiều thiết bị thiếu kiểm soát truy cập có thể truy cập tới mặt phẳng điều khiển VoLTE. Hình dưới mô tả việc thực hiện trên thiết bị di động. Có 2 tùy chọn để kiểm soát truy cập vào điện thoại: phần cứng (chipset 3G/4G) và phần mềm (hệ điều hành, ứng dụng)
Hình 3.13: Kiểm soát truy cập VoLTE trên thiết bị
Đối với cuộc gọi CS, tất cả tín hiệu được xử lý trong chipset, không tiếp xúc với hệ điều hành và ứng dụng, nên không thể chiếm được quyền điều khiển chúng, trừ khi các phần cứng bị tổn hại hay có chế độ gỡ lỗi đặc biệt của nhà phát triển. Ngược lại, tín hiệu VoLTE được tiếp xúc với các hệ điều hành di động, được gọi là giao diện VoLTE, được tạo ra dành riêng cho VoLTE.Có nhiều lý do để tiếp cận phần mềm: VoLTE thông qua giao thức Internet (IP và SIP) được hỗ trợ tốt trong các hệ điều hành (ví dụ, thư viện android.net.sip), các chương trình phần mềmđáp ứng được sự thay đổi linh hoạt và các thông tin phong phú cho hệ điều hành và ứng dụng để tối ưu hóa hiệu suất. Theo thiết kế, chỉ có tín hiệuchính hãng có thểđi qua các giao diện
VoLTE và nhập chipset nằm bên dưới.Tuy nhiên, giao diện VoLTE đã không được
vững chắc chống lại không có thẩm quyền truy cập. ứng dụng không có đặc quyền
khác có thể dễ dàng có đượccác thông tin giao diện VoLTE. Trong thực tế, thông tin
có thể được lấy trực tiếp từthiết lập mạng lưới trong hệ điều hành. Ví dụ, trong điện
thoại Android, địa chỉ IP được lấy từ / proc / net / if_inet6, và địa chỉ IP của máy chủ
hiệu từ bảng định tuyến (/ proc / net / ipv6_route).
Hơn nữa, nó là khả thi đối với các đối thủ để đưa dữ liệu không VoLTE các
gói tin (màu đỏ đứt nét trong hình). Những kẻ tấn công không có gốc đặc quyền có
thể chỉ định điểm đến của nó với bất kỳ VoLTE liên quan các máy chủ. Với bảng
có thể tiêm các gói vào VoLTE tín hiệu không ghi tên, vàgói tin được chuyển đến các máy chủ VoLTE. Với đặc quyền root, kẻ thù có thể thêm một quy tắc định tuyến
đến đích nào chogiao diện VoLTE. Do đó ông có thể tiêm các gói tin đến bất kỳ mục
tiêu thông qua các tín hiệu không ghi tên.
Lưu ý rằng chúng tôi kiểm tra tất cả ba loại phổ biến của giao thông trong các thực
nghiệmcác nghiên cứu về phần này: UDP, TCP, và ICMP.
V2. Định tuyến và chuyển tiếp thiếu chặt chẽ trên mạng: Điểm yếu tiếp theo nằm ở phía bên trong mạng định tuyến và chuyển tiếp gói tin của nó. Nó dẫn đến hai
hậu quả bất ngờ. Đầu tiên, lưu lượng truyền đi qua VoLTE chưa được xác minh tại
thời điểm chạy. Các gói điều khiển không xác thực có thểđược chuyển tiếp bởi mạng.
Nếu không có thời gian chạy lọc, các gói dữ liệu không cần thiết phải là máy chủ VoLTE trong lõi IMS, có thể lẻn vào qua VoLTE mà không cần ghi tên. Thứ hai, quy
tắc định tuyến trong các mạng di động dễ bị lạm dụng. Điện thoại VoLTE cần trao
đổi bản tin báo hiệu với nhau thông qua các máy chủ VoLTE. Khi các quy tắc định
tuyến hướng vào nhau, điện thoại tồn tại cho người mang tín hiệu tại cổng 4G, điện
thoại có thể giao tiếp với nhau mà không cần đến máy chủ báo hiệu. do đó nó cho phép trực tiếp, truyền thông di động-tới-di động. Có khảnăng là định tuyến quy tắc để phần còn lại của Internet tồn tại; này tạo điều kiện truy cập dữ liệu di động đến Internet thông qua các VoLTE tín hiệu không ghi tên.
V3. Lạm dụng việc không thanh toán khi sử dụng VoLTE: Tín hiệu điều khiển VoLTE là miễn phí. Bất kỳ gói dữ liệu qua VoLTE mang tín hiệu là miễn phí, không
cần biết điểm đến của họ là các máy chủ báo hiệu VoLTE hay không. Do đó, chẳng
hạn ngoài ý muốn truyền dữ liệu được xử lý như VoLTE tín hiệu và bỏ qua thanh toán cơ chế để truy cập PS dữ liệu bình thường. Thông thường, truy cập dữ liệu di
động được trừ tiền dựa trên khối lượng (ví dụ, sốlượng các byte được truyền đi). Kể
từ VoLTE tiếp tục cung cấp cuộc gọi dịch vụ, thường sẽ áp dụng tính cước theo thời gian, tương tự như cho gọi CS truyền thống. Do đó, chỉ có thời gian gọi trên mặt
phẳng dữ liệu được thu thập để thanh toán. Bản tin điều khiển VoLTE được sử dụng
hiệu thậm chí còn trao đổi trước khi cuộc gọi được thành lập, ví dụ, SIP-INVITE, SIP-INVITE-OK, thông điệp SIP INVITE-ACK được sử dụng để thiết lập cuộc gọi. Tuy vậy, việc thực hành cung cấp tín hiệu VoLTE miễn phí hiện có sơ hở. Các nhà khai thác không thực thi tất cảcác gói tin đi qua kênh mang báo hiệu VoLTE có là
bản tin điều khiển thực sự. Thậm chí tệhơn,chưa có cơ chế hiệu quảđể hạn chếlưu
lượng điqua đó. Kết quảlà, điều này có thể dễ dàng bị lạm dụng để làm cho dịch vụ
dữ liệu "tự do".
V4. Lam dụng QoS cao của tín hiệu VoLTE: Một tính năng nổi bật của VoLTE
là khả năng của nó đảm bảo caochất lượng cho các cuộc gọi thoại. Mỗi kênh mang
được kết hợp vớimột định danh của lớp QoS (QCI), trong đó xác định các đặc điểm
gói IP về mức độ ưu tiên, đảm bảo băng thông, trễ gói và mất gói. Kênh mang tín
hiệu VoLTE có độ ưu tiên cao nhất (mức 1) trong khi truyền dữ liệu (ví dụ, trang
web, video streaming) có mức thấp nhất (mức 9). Truy cập dữ liệu VoLTE bị khai
thác có thể ngăn chặn dữ liệu PS bình thường với quyền ưu tiên. Lưu ý rằng cả hai
đều thuộc thể loại tốc độ bit không đảm bảo, trong đó, kênh mang thoại với QCI = 1
có tốc độ bít được đảm bảo (GBR). GBR là kênh mang được cấp tài nguyên mạng
chuyên dụng qua cả radio và các liên kết có dây và có chất lượng âm thanh đảm bảo
bằng cách đảm bảotỷ lệ trung bình cho một khoảng thời gian.
Dịch vụ dữ liệu miễn phí: để lấy quyền truy cập dữ liệu bên ngoài (Mobile – to – Internet) và nộibộ (Mobile – to – mobile)
Tấn công từ chối dịch vụ dữ liệu: nhằm đánh sập dịch vj dữ liệu đang hoạt động tại máy nạn nhân bằng cách tận dụng truy cập mức cao bởi việc truyền dữ liệu VoLTE bị khác thác. Kẻ tấn công chèn lưu lượng lớn vào kênh mang tín hiệu tới kênh
mang tín hiệu của nạn nhân. Nó thâutóm toàn bộ băng thông downlink của dịch vụ
dữ liệu của nạn nhân, gây ra từ chối dịch vụ dữ liệu.
Overcharging dữ liệu: khiến nạn nhân phải chi trả mức cước phí nhiều hơn
bình thường bằng cách chèn dữ liệu vào kênh mang dịch vụ - tín hiệu của nạn nhân.
Kiểu tấn công này khác DoS dữ liệu ở chỗ, DoS gửi nhiều dữ liệu tới kênh mang tín hiệu của máy nạn nhân.
Hình 3.14: Minh họa 3 hình thức tấn công
Giải pháp an ninh:
Để khắc phục các nguy cơ tiềm ẩn trong VoLTE,cần thực hiện một số biện pháp sau:
Thứ nhất, gateway 4G thực thi quy định nghiêm ngặt cho từng route thông thường cho mỗi kênh mang. Điều này là để uỷ quyền cho rằng lưu lượng thực hiện bởi kênh mang tín hiệu/thoại được chuyển tiếp bởi gateway 4G duy nhất giữa điện thoại và máy chủ truyền tín hiệu hoặc các cổng truyền thông trong IMS. Nó giúp loại bỏ V2. Tuy nhiên, không sửa chữa V1, nó vẫn còn dễ bị tổn thương bởi cuộc tấn công
DoS, gây lãng phí tài nguyên vô tuyến. Điều này đòi hỏi nâng cấp của gateway 4G
và có thể được thực hiện bằng cách thêm vào các bộ lọc cho kênh mang VoLTE. Nó
có thể cần nỗ lực nhiều khi thêm tất cả hợp lệ các máy chủ vào danh sách trắng.
Thứ hai, các nhà điều hành dừng thực hành chính sách tín hiệutự do và chi
phí tín hiệutương tự nhưlưu lượngdữ liệu. Điều này loại trừ V3 và cũng phần lớn là
giảm động cơ sử dụng để khai thác VoLTE cho việc truy cập dữ liệu. Tuy nhiên, điều
này đòi hỏi việc nâng cấpcác hệ thống thanh toán. Gateway 4G cũng nên cho phép
kế toán cho hệ thống báo gói. Thách thức chính không phải là về mặt kỹ thuật mà là
tiêu dùng đăng ký với một kế hoạch dữ liệu cho truy cập Internet. Một giải pháp bổ sung là cho phép một VoLTE khối lượng hạn ngạch dữ liệu cho mỗi chương trình
thoại. Khi khối lượng là dưới hạn ngạch này, nó phải gánh chịu không phí phụ thêm.
hạn ngạch này được dựa trên trường hợp sử dụng thông thường khi khối lượng tín
hiệu cho mỗi cuộc gọi là thường nhỏ. Cách tiếp cận này không đòi hỏi người dùng phải nhận thức của những thay đổi thanh toán trong các tình huống lành tính, nhưng lạm dụng VoLTE cho một số lượng lớn giao hàng khối lượng có thể được xác định
và tính phí phụ thêm.
Thứ ba, liên quan đến các cuộc tấn công DoS, nó gọi cho cơ chế mới để đảm
bảo phân bổ nguồn lực để chỉ cho lưu lượng.Một phương pháp là thực thi các cơ chế
hoãn. Một khi lưu lượng được phát hiện là giả hoặc lưu lượng rác, khối lượng sẽ được hạch toán, và các nguồn sẽ được truy trở lại nếu khối lượng vượt quá ngưỡng nhất định. Khi chạy, bất cứ khi nào các tài nguyên yêu cầu lớn hơn hạn mức, ưu tiên được giảm. Chương trình này làm giảm, nhưng không loại bỏ lãng phí nguồn lực ưu
tiên. Lý tưởng nhất, an toàn cần được thực hiện tại các thiết bị để ngăn chặnlưu lượng
không xác thực được gửi ra. Tuy nhiên, điều này có thể nâng cao một hình thức mới của khai thác các truy cập bị chặn bởi tận dụng các cơ chế hoãn nếu một phần mềm độc hại được triển khai tại các nạn nhân.