Un equip d’acadèmics ha ideat un atac nou que es pot fer servir per rebaixar una connexió 5G a una generació inferior sense dependre d’una estació base (gNB).

L’atac, segons el grup de recerca ASSET (Automated Systems SEcuriTy) de la Universitat de Tecnologia i Disseny de Singapur (SUTD), es basa en un nou conjunt d’eines de programari de codi obert anomenat Sni5Gect (abreviatura de “Sniffing 5G Inject”) que està dissenyat per rastrejar missatges no xifrats enviats entre l’estació base i l’equip de l’usuari (UE, per exemple, un telèfon) i injectar missatges al UE de destinació per aire.

Segons Shijie Luo, Matheus Garbelini, Sudipta Chattopadhyay i Jianying Zhou, el marc es pot utilitzar per dur a terme atacs com ara bloquejar el mòdem UE, baixar a generacions anteriors de xarxes, prendre empremtes dactilars o bypass d’autenticació.

«A diferència d’utilitzar una estació base no autoritzada, que limita la pràctica de molts atacs 5G, SNI5GECT actua com a tercer en la comunicació, intercepta i inspecciona missatges en silenci i fa un seguiment de l’estat del protocol descodificant els missatges detectats durant el procediment d’adhesió del UE», van dir els investigadors. «A continuació, la informació de l’estat s’utilitza per injectar una càrrega útil d’atac dirigit a la comunicació d’enllaç descendent.»

Les troballes es basen en un estudi previ d’ASSET a finals de 2023 que va portar al descobriment de 14 defectes en la implementació del microprogramari dels mòdems de xarxa mòbil 5G de MediaTek i Qualcomm, denominats col·lectivament 5 Ghoul, que es podria aprofitar per llançar atacs per eliminar connexions, congelar la connexió que implica un reinici manual o rebaixar la connectivitat 5G a 4G.

Els atacs Sni5Gect estan dissenyats per interceptar i inspeccionar missatges de manera passiva durant el procés de connexió inicial, descodificar el contingut del missatge en temps real i, després, aprofitar el contingut del missatge descodificat per injectar càrregues útils d’atac dirigides.

Concretament, els atacs estan dissenyats per aprofitar la fase prèvia al procediment d’autenticació, moment en què els missatges intercanviats entre el gNB i el UE no estan xifrats. Com a resultat, el model d’amenaça no requereix el coneixement de les credencials del UE per detectar el trànsit d’enllaços ascendents/descendents o injectar missatges.

«Segons el que sabem, SNI5GECT és el primer marc que permet que els investigadors interceptin i inspeccionin a l’aire i tinguin capacitats d’injecció amb manteniment de l’estat, sense requerir un gNB no autoritzat», van dir els investigadors.

«Per exemple, un atacant pot explotar la finestra breu de comunicació del UE que s’estén des del procés RACH fins que s’estableix el context de seguretat del NAS. Aquest atacant escolta activament qualsevol missatge RAR del gNB, que proporciona l’RNTI per descodificar més missatges del UE.»

Això permet que l’actor de l’amenaça bloquegi el mòdem del dispositiu de la víctima, l’empremta el dispositiu objectiu i fins i tot rebaixar la connexió a 4G, que té vulnerabilitats conegudes que l’atacant pot explotar per rastrejar la ubicació del UE al llarg del temps.

En proves amb cinc telèfons intel·ligents, inclosos OnePlus Nord CE 2, Samsung Galaxy S22, Google Pixel 7 i Huawei P40 Pro, l’estudi va aconseguir un 80 % de precisió en la intercepció i inspecció d’enllaç ascendent i descendent i va aconseguir injectar missatges amb una taxa d’èxit del 70-90 % des d’una distància de fins a 20 metres (65 peus).

L’Associació Global System for Mobile Communications (GSMA), una associació comercial sense ànim de lucre que representa els operadors de xarxes mòbils d’arreu del món i desenvolupa noves tecnologies, ha reconegut l’atac de degradació en diverses etapes i li ha assignat l’identificador CVD-2024-0096.

«Argumentem que SNI5GECT és una eina fonamental en la recerca de seguretat 5G que permet no només l’explotació 5G a l’aire, sinó avançar en la recerca futura sobre detecció i mitigació d’intrusions 5G a nivell de paquets, millores de seguretat a la seguretat de la capa física 5G i més», van concloure els investigadors.