Reaparecen los IMSI Catchers: Nuevos ataques contra redes 4G y 5G

Un grupo de investigadores universitarios descubrieron y revelaron una vulnerabilidad que afecta a las redes con protocolos 4G y 5G. Consiste en un ataque IMSI-Catcher, que es básicamente un Man in the Middle, pero para teléfonos celulares.  Los investigadores presentaron un paper en el simposio de NDSS (The Network and Distributed System Security). Allí especifican […]

Un grupo de investigadores universitarios descubrieron y revelaron una vulnerabilidad que afecta a las redes con protocolos 4G y 5G. Consiste en un ataque IMSI-Catcher, que es básicamente un Man in the Middle, pero para teléfonos celulares. 

Los investigadores presentaron un paper en el simposio de NDSS (The Network and Distributed System Security). Allí especifican que este tipo de ataque permite al atacante (remoto) bypassear las protecciones de seguridad implementadas en los protocolos implementados en las redes 4G y 5G LTE, volviendo a poner en la palestra a los IMSI-Catchers para interceptar llamadas telefónicas de usuarios y rastrear su ubicación.

Esquema de este tipo de ataque Man-in-the-Middle

En específico se pueden realizar tres tipos de ataques, que explicamos a continuación:

 ”ToRPEDO Attack”
Verificación de la ubicación/DoS/Inyección de alertas falsas

ToRPEDO es la abreviatura de ”TRacking via Paging mEssage DistributiOn” (rebuscado, no?). Para los investigadores este es el ataque más preocupante, ya que aprovecha el protocolo de paginación, permitiendo a los atacantes remotos verificar la ubicación de un dispositivo, inyectar mensajes de paginación fabricados y montar ataques de denegación de servicio (DoS).

Cuando un dispositivo no se está comunicando activamente con la red celular, entra en modo inactivo (algo así como ”modo de ahorro de energía”), por lo tanto, cuando el aparato recibe una llamada telefónica, o un mensaje SMS, estando en este modo, la red celular primero envía un mensaje de aviso para notificar al dispositivo la llamada entrante o el texto.

Debe tenerse en cuenta que los mensajes de paginación también incluyen un valor denominado “Identidad temporal de abonado móvil” (TMSI) del dispositivo que no cambia con frecuencia.

Sin embargo, los investigadores encuentran que si un atacante inicia y luego cancela las llamadas varias veces en un período corto, la estación base actualiza el valor TMSI con alta frecuencia al enviar los mensajes de búsqueda.
Por lo tanto, un atacante que olfatee los mensajes de búsqueda, a través de dispositivos como Stingrays, puede verificar si un usuario (teléfono celular objetivo) está dentro de un rango de intercepción o no.

El ataque ToRPEDO afecta tanto a 4G como a la versión actual del protocolo 5G LTE, y los investigadores dijeron que verificaron ToRPEDO contra tres proveedores de servicios canadienses y todos los proveedores de servicios de EE.UU. Opa!

Una vez que se conoce la ocasión de búsqueda de la víctima del ataque de ToRPEDO, los atacantes también pueden secuestrar el canal de búsqueda, lo que les permite enviar mensajes de emergencia fabricados, montar un ataque de denegación de servicio mediante la inyección de mensajes de búsqueda vacíos fabricados, y así bloquear a la víctima de recibir cualquier servicio pendiente.

Piercer y Ataques de Crackeo IMSI 

El ataque ToRPEDO abrió una puerta para otros dos nuevos ataques: el PIERCER y el IMSI-Cracking, lo que lleva a la recuperación completa de la identidad persistente del dispositivo víctima (es decir, IMSI).

Debido a una falla de diseño, el ataque PIERCER (Persistent Information ExposuRe by the CorE netwoRk) permite que un atacante asocie el IMSI único del dispositivo víctima con su número de teléfono.

“Algunos proveedores de servicios utilizan IMSI en lugar de TMSI en los mensajes de localización para identificar los dispositivos con servicios pendientes”, explicaron los investigadores. “Una simple prueba manual reveló que es posible dar al proveedor del servicio la impresión de que se está produciendo un caso excepcional que lo obliga a revelar el IMSI de la víctima”.

Según los investigadores, el ataque ToRPEDO también permite a un atacante con el conocimiento del número de teléfono de la víctima recuperar el IMSI de la víctima, tanto en 4G como en 5G, lanzando un ataque de fuerza bruta.

Con el número de IMSI los atacantes podrían husmear las llamadas de la víctima y la información de ubicación utilizando receptores IMSI como Stingrays y DRTBox, incluso si la víctima posee un teléfono 5G. Por ende, es importante tener estos ataques en consideración.

Imagen referencial de un IMSI-Catcher y teléfonos 4G.