4G LTE网络中基于IMS的短信服务带来的新安全威胁

笔记作者：ZeddYu@SecQuan

原文作者：Guan-Hua Tu , Chi-Yu Li , Chunyi Peng, Yuanjie Li, and Songwu Lu

原文标题：New Security Threats Caused by IMS-based SMS Service in 4G LTE Networks

原文链接：https://dx.doi.org/10.1145/2976749.2978393

本文针对 SIP 提出了四种新的攻击方式:

• Silent SMS abuse
• SMS spoofing
• SMS client DoS
• SMS spamming towards IMS

主要贡献：

• 我们发现基于 IMS 的手机短信和 IMS 系统存在四个漏洞。它们来自于其基本设计的安全问题（即基于软件的客户端，灵活的协议，数据面通信通道），以及标准所规定的安全机制。
• 我们设计了针对移动用户、运营商和SMS服务提供商的概念验证攻击，利用所发现的漏洞。我们评估了它们对两个主要美国运营商的影响。
• 我们指出了根本原因并提出了建议的解决方案。我们学到的经验不仅有助于确保基于IMS的SMS的全球部署，而且也有利于移动行业。

背景当中介绍了几种类型的 SMS 信息，例如 Internet-based SMS/CS-based SMS/IMS-based SMS ，并且对以往的攻击做了初步分析。

• Unauthorized SMS access: 这种一般使用的是木马，通过植入木马在用户未授权的情况下发送短信，但是随着目前安卓等移动系统权限控制安全性提升以及杀软的介入，该类方法不再变得有效
• SMS Spoofing: 互联网短信供应商并不限制每条短信的发件人号码只能是发件人，可以进行短信伪造

IMS-based SMS 有这几种攻击方式：

• Silent SMS Abuse: 攻击者通过对受害者植入移动手机上的木马来悄无声息地对短信进行恶意滥用
• SMS client Dos: 攻击者通过对受害者植入移动手机上的木马来耗尽受害者的短信费用
• SMS spamming towards IMS: 对于同 IMS 系统发送垃圾短信
• SMS spoofing: 攻击者在受害者毫不知情的情况下发送伪装成受害者的短信

SMS-powered services 有这几种攻击方式：

• Account hijacking: 劫持受害者的 Facebook 账号
• Unauthorized donation: 攻击者使用受害者的资金向红十字捐赠
• Unauthorized subscription: 攻击者可以让移动用户订阅一个服务，在移动用户收到未经允许的订阅后可能会投诉对应的服务商，因此服务商可能会收到用户未经授权订阅的投诉

通过对比 IMS-based SMS 与 CS-based SMS 等类型的几种不同点：

• SMS client design (i.e., software-based versus hardware-based)
• SMS protocol design (i.e., different flexibility)
• the communication channel between the SMS client and the core network (i.e., dataplane versus control-plane).

主要突出了以下几点：

• Software-based Client Design. 相对于之前的硬件 SMS 的配置，现在基于软件的 SMS 客户端更容易受到攻击
• Flexible Protocol Design. 由于协议的宽松性，使得更容易伪造 SMS 信息
• Data-plane Communication Channel. IMS系统将SMS的通信渠道，即客户和核心网之间的通信渠道，从传统SMS的控制面转移到数据面。在CS网关的控制面信令的所有经过考验的安全机制（如身份认证、消息加密、完整性保护等）都不适用于基于PS的IMS系统。
• Stipulated Security Mechanisms. 3GPP/3GPP2 拥有不同的安全规范，后者允许更多的安全机制，容易产生更多的安全风险

作者详细介绍了几种攻击方式：

• Leakage of SIP Session Information. 通过中间人的方式，监测一个运营商 OP-I 所处理的 SIP 消息并没有任何加密措施，都是明文传输，所以可以获取 SIP 注册流程的所有 DIGEST 应答挑战
• Injection of Forged SIP Messages. 不是看的很明白，原文直接伪造了 UDP SIP 报文发送就可以了
• Insufficient SMS Access Defense at Phone. 因为是借助网络，不需要发短信权限，通过网络就可以发送网络消息了
• Spoofable SMS Messages at IMS Server. 通过测试出必要的头部字段，通过协议的宽松性伪造其他头部

并且作者以几个实际攻击场景作为了举例：

• 未授权圈操作：通过对受害者的手机植入木马应用，只使用网络权限，伪造受害者向 Facebook Text service 发送一些网络消息从而达到通过网络信息操控 Facebook 账号的目的，操作过程如图所示

• 未授权捐赠：美国红十字会的捐助是通过类似话费的移动捐赠手段，所以也可以通过网络短信发送确认捐赠的消息，从而到达未授权捐赠
• 未授权订阅：一些短信订阅服务需要在网页上填写手机号然后通过发送短信的形式确认订阅，此时攻击者可以通过植入木马发送确认订阅来订阅一些服务，从而达到未授权订阅，导致用户会举报这些订阅服务商滥用订阅

最后作者提出了对应的修复建议：

• 移动操作系统应该防止利用 SMS API 以外的所有方式来访问 SMS ，也就是说，应该禁止应用程序使用网络套接字来发送/接收SMS信息
• 除了 IPSec 之外， SMS 客户端本身应该有另一个安全级别，因为客户端所依赖的 XFRM 模块可以被有 root 权限的应用程序利用来滥用 IPSec 。额外的安全级别可以通过隐藏SMS服务的目标地址（例如，动态分配服务端口，避免IMS服务器的IP地址在路由表中泄漏等），或者增加一种安全方法（例如，安全挑战，DIGEST等）来实现
• 网络应该在用于建立SIP会话的客户IP地址和SIP/SMS消息中指定的发起人标识（即电话号码）之间提供安全绑定。当一个SIP会话被初始化并验证成功后，IMS服务器应将初始消息中指定的发端人电话号码与客户的IP地址绑定。
• IMS服务器可以验证每个SIP消息中的发端人电话号码，并在号码被欺骗时放弃它。
• 从基于 CS 的 SMS 中了解到， SIP 消息的发端人信息需要由网络（即 IMS 服务器）而不是电话来指定
• 增加短信服务的安全性。首先，一个用户对 SMS 为基础的服务订阅应该由该用户确认。第二，以 SMS 为基础的服务提供商应该为每个服务请求自行认证移动用户。

安全学术圈招募队友-ing, 有兴趣加入学术圈的请联系secdr#qq.com