Thumbnail Image

Towards secure 4G and 5G access network protocols

Shaik, Altaf

The security architecture of 2G and 3G mobile networks has been dramatically improved to accommodate 4G (Fourth Generation, a.k.a Long Term Evolution (LTE)) security requirements. As generations evolve, security improvements address previously known vulnerabilities, esp. in terms of user privacy. Thus, there have been substantial efforts to protect user plane traffic by using robust encryption algorithms over the LTE access network. Contrarily, the control plane remains vulnerable despite its security enhancements. Especially, the radio and subscriber management protocols have not evolved for the last two decades in mobile networks. By design, these protocols are allowed to operate without any security measures to minimize overheads in the system. Such design choices made by the standard body Third Generation Partnership Project (3GPP) are justified as a trade-off between conflicting requirements such as security and availability and performance. These justifications remain valid, considering that telecommunication systems have traditionally been proprietary, expensive, and efforts to mount attacks against them were challenging. Today, the proliferation of inexpensive radio hardware and open-source cellular software has changed the threat landscape in mobile networks. In this context, our research practically investigates the validness of LTE security trade-offs. For this, we develop a low-cost experimental testbed to mount different types of wireless attacks and evaluate their feasibility and impact on commercial LTE devices and networks. We discover several new vulnerabilities in the access network protocols that jeopardize the privacy and availability aspects of the system. We also identify bad security practices in end-user devices and the operator’s infrastructure that catalyze our attacks and further, amplify its consequences. Our findings indicate that the equilibrium points in the trade-offs have changed today compared to where they were when designing the LTE security architecture. Also, the security margins to protect against trade-off changes being too narrow demonstrates the lack of resilience in LTE networks. Unlike jamming or other types of Denial-of-Service (DoS) attacks, ours are stealthy and remain active on end-user devices for a prolonged period. To this extent, we responsibly communicated our research findings to the relevant standard bodies, operators, and baseband vendors. We emphasize that the justification for these trade-offs is no longer valid and violates LTE security requirements. Thus, we propose mitigations to restore privacy and availability aspects of the system, and fortunately, they are enforced into 4G and 5G specifications and also into worldwide operational devices and networks. We recommend that safety margins introduced into future specifications should incorporate greater agility and flexibility to maintain a stable trade-off equation.
Die Sicherheitsarchitektur von 2G und 3G Mobilfunknetzen wurde stark überarbeitet und verbessert, um den Sicherheitsanforderungen, die an 4G (Fourth Generation, auch bekannt als LTE (Long Term Evolution)) gestellt werden, gerecht zu werden. Mit jeder neuen Generation wurden die Sicherheitsstandards verbessert, um neu bekanntgewordene Sicherheitslücken zu beheben, insbesondere im Hinblick auf die Privatsphäre der Nutzer. Es wurden erhebliche Anstrengungen unternommen, um die LTE-Userplane bei der Übertragung im LTE Netz mittels robuster Verschlüsselungsalgorithmen zu schützen. Im Gegensatz hierzu ist die Controlplane, trotz einiger Sicherheitsverbesserungen, weiterhin verwundbar. Insbesondere der Betrieb von Funk- und Abonnentenmanagementprotokollen hat sich für Mobilfunknetzte in den letzten zwei Jahrzehnten nicht weiterentwickelt. Diese Protokolle sind ohne notwendige Verschlüsselung konzipiert, um die Systemlast minimal zu halten. Diese Entscheidungen werden durch das Standardorgan 3GPP (Third Generation Partnership Project) getroffen und werden mit einem Kompromiss zwischen den widersprüchlichen Anforderungen der Sicherheit und Verfügbarkeit auf der einen, und der Leistung auf der anderen Seite, begründet. Diese Rechtfertigungen sind weiterhin gerechtfertigt, da Telekommunikationssysteme traditionell proprietär und teuer sind und Angriffe gegen Telekommunikationssysteme eine Herausforderung darstellten. Heutzutage hat sich angesichts der Verbreitungen günstiger Funk-hardware und Open-Source Mobilfunk Software die Bedrohungslage in Mobilfunknetzen stark verändert. Vor diesem Hintergrund untersucht unsere Forschung praxisnah die Gültigkeit der Trade-Offs im Design der LTE Sicherheitsarchitektur. Hierzu entwickeln wir eine günstige experimentelle Testumgebung, um verschiedene drahtlose Angriffe durchzuführen und ihre Auswirkung auf kommerzielle Geräte und Netzwerke zu evaluieren. Wir entdecken eine Reihe an bis dato unbekannten Sicherheitslücken in den LTE Zugangsprotokollen, welche die Vertraulichkeit und Verfügbarkeit der Systeme gefährden. Darüber hinaus identifizieren wir sicherheitskritische Praktiken bei Implementierungen für Endbenutzergeräte und in der Infrastruktur der Netzbetreiber, die von Standard Sicherheitsverfahren abweichen und dadurch unsere Attacken beschleunigen und ihre Konsequenzen erhöhen. Unsere Ergebnisse deuten darauf hin, dass sich das Gleichgewicht zwischen Sicherheit und Leistung, im Vergleich zu dem Stand, als die LTE Sicherheitsarchitektur entworfen wurde, verschoben hat. Desweiteren stellen sich die Sicherheitsspielräume, die gegen Veränderungen der Trade-Offs schützen sollen, als zu gering heraus. Anders als bei Jamming- und Flooding-basierten Angriffen laufen unsere Angriffe im Generellen unbemerkt ab und können für einen längeren Zeitraum auf dem Endbenutzergerät aktiv bleiben. Wir haben unsere Forschungsergebnisse verantwortungsbewusst an die relevanten Standardorganisationen, Betreiber und Basisbandanbieter gemeldet. Wir betonen, dass die eingegangenen Kompromisse nicht mehr zu rechtfertigen sind und eine die LTE Sicherheitsanforderungen nicht erfüllen. Wir schlagen daher Maßnahmen vor, um die Aspekte, welche die Vertraulichkeit und Verfügbarkeit des Systems betreffen, wiederherzustellen. Glücklicherweise werden diese Maßnahmen in den 4G und 5G Spezifikationen sowie in den weltweiten Netzen der Betreiber umgesetzt. Wir empfehlen, dass Sicherheitsspielräume, die in künftige Spezifikationen aufgenommen werden, eine größere Agilität beinhalten sollten, um späteren Änderungen des Kompromissgleichgewichts Rechnung zu tragen.