ATAQUE REVOLTO

Un nuevo ataque permite a los hackers desencriptar el cifrado VoLTE para espiar las llamadas telefónicas

Un equipo de investigadores académicos, que fue noticia a principios de este año por Problemas de seguridad en las redes 4G LTE y 5G revelaciones- ha desvelado hoy un nuevo ataque llamado "ReVoLTE" que permite a los atacantes descifrar el cifrado de las llamadas de voz VoLTE y espiar las llamadas dirigidas.

El ataque no explota una vulnerabilidad en el protocolo de Voz sobre LTE (VoLTE), sino que aprovecha la débil implementación de la red móvil LTE en la mayoría de los proveedores de telecomunicaciones en la práctica, lo que permite a un atacante escuchar las llamadas telefónicas cifradas de las víctimas objetivo.

VoLTE, o Protocolo de Voz sobre Evolución a Largo Plazo, es un estándar de comunicaciones inalámbricas de alta velocidad para teléfonos móviles y terminales de datos, incluidos los dispositivos del Internet de las Cosas (IoT) y los wearables que utilizan la tecnología inalámbrica 4G LTE.

El quid de la cuestión es que la mayoría de los operadores de telefonía móvil suelen utilizar el mismo flujo de claves para dos llamadas consecutivas dentro de un enlace de radio para cifrar los datos de voz entre el teléfono y la misma estación base, es decir, la torre celular.

El nuevo Ataque ReVoLTE De este modo, se aprovecha la reutilización del mismo flujo de claves por parte de las estaciones base vulnerables, lo que permite a los atacantes descifrar el contenido de las llamadas de voz soportadas por VoLTE en el siguiente escenario.

Sin embargo, la reutilización de un flujo de claves predecible no es nueva y fue demostrada por primera vez por Raza y Lu pero el ataque ReVoLTE lo convierte en un ataque práctico.

¿Cómo funciona el ataque ReVoLTE?

Para iniciar este ataque, el atacante debe estar conectado a la misma estación base que la víctima y colocar un sniffer de enlace descendente para monitorizar y grabar una "llamada dirigida" de la víctima a otra persona, que posteriormente debe ser descifrada, como parte de la primera fase del ataque ReVoLTE.

Una vez que la víctima cuelga la "llamada dirigida", el atacante se ve obligado a llamar a la víctima, normalmente en 10 segundos inmediatamente, lo que obliga a la red vulnerable a iniciar una nueva llamada entre la víctima y el atacante a través del mismo enlace de radio utilizado por la anterior llamada dirigida.

"La reutilización del flujo de claves se produce cuando el destino y la llamada del flujo de claves utilizan la misma clave de cifrado del plano de usuario. Dado que esta clave se actualiza para cada nueva conexión de radio, el atacante debe asegurarse de que el primer paquete de la llamada del flujo de claves llegue dentro de la fase activa después de la llamada de destino", dijeron los investigadores.

Una vez establecida la conexión, la segunda fase requiere que el atacante entable una conversación con la víctima y la grabe en texto plano, lo que posteriormente le ayudaría a calcular de forma inversa el flujo de claves utilizado en la siguiente llamada.

Según los investigadores, el XOR de las secuencias de claves con el correspondiente fotograma encriptado de la llamada objetivo grabada en la primera fase descifra su contenido, lo que permite a los atacantes espiar la conversación que mantuvo su víctima en la llamada anterior.

"Como esto da lugar al mismo flujo de claves, todos los datos RTP se cifran de la misma manera que los datos de voz de la llamada de destino. Una vez que se ha generado una cantidad suficiente de datos del flujo de claves, el atacante aborta la llamada", dice el documento.

Sin embargo, la longitud de la segunda llamada debe ser mayor o igual a la primera para poder descifrar cada trama; de lo contrario, sólo podrá descifrar una parte de la llamada.

"Es importante señalar que el agresor debe entablar una conversación prolongada con la víctima. Cuanto más tiempo haya hablado con la víctima, más contenido de la comunicación anterior podrá descifrar", dice el documento.

"Cada fotograma está asociado a un recuento y cifrado con un flujo de claves individual, que extraemos durante el cálculo del flujo de claves. Dado que el mismo recuento genera el mismo flujo de claves, el recuento sincroniza los flujos de claves con las tramas cifradas de la llamada de destino. Al XORar las secuencias de claves con la trama cifrada correspondiente, se descifra la llamada de destino".

"Como nuestro objetivo es descifrar toda la llamada, la llamada del flujo de claves debe ser tan larga como la llamada de destino para entregar un número suficiente de paquetes, de lo contrario sólo podremos descifrar una parte de la llamada".

Detección y demostración de ataques ReVoLTE

Para demostrar la viabilidad práctica del ataque ReVoLTE, el equipo de científicos de la Ruhr-Universität Bochum implementó una versión de extremo a extremo del ataque dentro de una red comercial vulnerable y teléfonos comerciales.

El equipo utilizó el analizador de enlaces descendentes Airscope de Software Radio System para capturar el tráfico cifrado y tres teléfonos basados en Android para recuperar el texto plano conocido en el teléfono del atacante. A continuación, comparó las dos conversaciones grabadas, determinó la clave de cifrado y, finalmente, descifró parte de la conversación anterior.

Puedes ver el vídeo de demostración del ataque ReVoLTE, que, según los investigadores, cuesta menos de 7.000 dólares de configurar y eventualmente descifrar el tráfico de enlace descendente.

El equipo probó una serie de células de radio seleccionadas al azar en toda Alemania para determinar el alcance del problema y descubrió que 12 de las 15 estaciones base de Alemania estaban afectadas, pero los investigadores dijeron que la vulnerabilidad también afecta a otros países.

Los investigadores notificaron a los operadores de estaciones base alemanes afectados el ataque ReVoLTE a principios de diciembre de 2019 como parte del Programa de Divulgación Coordinada de Vulnerabilidades de la GSMA, y los operadores pudieron desplegar los parches en el momento de la publicación.

 

Dado que el problema también afecta a un gran número de proveedores en todo el mundo, los investigadores han publicado una aplicación de código abierto para Android llamada "Centinela móvil" que puedes utilizar para determinar si su red 4G y sus estaciones base son o no vulnerables al ataque ReVoLTE.

Los investigadores -David Rupprecht, Katharina Kohls y Thorsten Holz, de la Universidad del Ruhr de Bochum, y Christina Pöpper, de la Universidad de Nueva York de Abu Dhabi- también han publicado un sitio web propio y un trabajo de investigación (PDF) titulado "Call Me Maybe: Eavesdropping Encrypted LTE Calls With REVOLTE" que detalla el ataque ReVoLTE, donde puedes encontrar más detalles.

Fuente

11 03 2021

¿Qué grado de confidencialidad tienen sus llamadas?
Esta aplicación para iPhone los comparte con todo el mundo

No hay que asustarse.

No se trata de un caso de métodos secretos de intervención telefónica (o de espionaje, como suele llamarse) por parte del Estado-nación.

No se trata de que los ciberdelincuentes intenten deliberadamente escuchar las conversaciones de su empresa para desviar pagos masivos de facturas o implantar un ransomware con demandas de extorsión multimillonarias.

Esa era la buena noticia.

El fallo en este caso, descubierto por el investigador indio de ciberseguridad Anand Prakash, era simplemente un error de mala programación.

La mala noticia es que los efectos secundarios del fallo podrían ser explotados por cualquiera, en cualquier lugar y en cualquier momento.

¿Quién necesita autenticación?

El tipo de vulnerabilidad que encontró Prakash suele recibir el eufónico nombre de IDOR, abreviatura de Insecure Direct Object Reference.

Una vulnerabilidad IDOR suele consistir en un sitio web o servicio que facilita a alguien que ejecuta la aplicación la recuperación de datos a los que se supone que debe acceder....

...para averiguar cómo acceder a los datos de otras personas en el futuro sin iniciar sesión o incluso autenticarse.
Normalmente, encontrarás que una aplicación o servicio utiliza una URL o un formulario web que contiene tu propio ID de usuario, número de serie u otro identificador no muy secreto sin que haya ninguna otra forma de estar seguro de que eres tú. Por ejemplo, puede intentar crear una solicitud utilizando el ID de otra persona, el siguiente número de la secuencia o alguna otra suposición probable para una referencia válida, y descubrir que el sistema recupera los datos directamente para usted, aunque no sea su registro y no deba verlo.

En teoría, muchos de los fallos explotables de IDOR pueden encontrarse de forma puramente analítica mediante ingeniería inversa de la aplicación sospechosa sin necesidad de crear una cuenta falsa y ejecutar la propia aplicación. En la práctica, a menudo es más fácil y rápido hacer algunas inversiones básicas para darte una idea de lo que debes buscar y luego ejecutar la aplicación sospechosa mientras la observas en acción. No es necesario pasar días analizando estáticamente una aplicación en un descompilador cuando se pueden inferir los fallos directamente de su propio comportamiento: basta con dar a la aplicación la oportunidad de cocinar su propia gallina de los huevos de oro de la ciberseguridad mientras se toman notas.

En este caso, la aplicación se llamaba "Acr call recorder" - para el iPhone, como muchas aplicaciones de la App Store, está (o estaba cuando miramos) plagada de cientos, incluso miles de elogiosos comentarios de 5 estrellas.

Probablemente puedes adivinar a dónde va esto, muchas de estas reseñas de 5 estrellas curiosamente recomiendan una aplicación completamente diferente en su texto, o elogian la aplicación con giros extraños que exponen razones improbables e incluso inquietantes.

Por ejemplo, alguien llamado Earnest asegura que "definitivamente es un desperdicio si no has probado esta aplicación", mientras que Christopher.1966 dice que ha estado "usando esta cosita casi desde que me subí al tren", y Brenda expresa de forma un tanto escalofriante, aunque redundante, su alegría por poder ahora "grabar lo que mi novia y yo dijimos". (Un grabador de llamadas que no pudiera grabar las llamadas sería claramente un nombre equivocado).

Aunque resulta que Brenda se refiere a una aplicación totalmente diferente que incluye una función de cambio de voz, uno se pregunta si la amiga de Brenda se dio cuenta de con quién estaba hablando cuando la grabaron. La calificación de 5 estrellas de Brenda sigue contando para la atractiva calificación media de 4,2/5 de la mencionada aplicación de grabación de llamadas.

Sin embargo, hay muchas reseñas de 1 estrella que advierten de que se trata de una de esas "aplicaciones de prueba gratuitas" que te cobran automáticamente si no las cancelas en tres días, un tipo de aplicación gratuita que Elizafish describió muy sucintamente con su reseña "GRATIS ????? Ridículo".

Pero quizás la reseña más acertada, al menos hasta que la aplicación se actualizó después de que el desarrollador recibiera el informe de errores de Anand Prakash, fue la de Leanne, de 5 estrellas, que decía: "No sólo puedo gestionar las grabaciones, sino que puedo compartirlas fácilmente cuando las necesito. Me resulta muy cómodo".

Sin embargo, lo que Leanne omitió fue que la función de almacenamiento en la nube de la aplicación es útil no sólo para ella, sino para todos los demás en el mundo, incluidos los que no tienen la aplicación o un iPhone.

Al parecer, compartir sus llamadas con otras personas era mucho más fácil de lo que pensaba.

¿Quién necesita autenticación?

Prakash descompiló la aplicación para buscar las direcciones URL a las que podría conectarse, supervisó la aplicación mientras se ejecutaba y descubrió que una de sus solicitudes de inicio de llamada era un bloque de datos JSON con el siguiente aspecto:

POST /fetch-sinch-recordings.php HTTP/1.1
Host: [REDACTED]
Content-Type: application/json
Connection: close
[. . .more headers, no unique cookies or tokens. . .]

{
"UserID": "xxxxxx",
"AppID": "xxx"
}

Dado que no hay forma de vincular esta solicitud a un usuario específico que ya se haya autenticado, y el servidor no tiene forma de decidir si el remitente de la solicitud tiene siquiera derecho a pedir datos pertenecientes al usuario designado por UserID...... usuario designado, alguien puede insertar el UserID de cualquier usuario en una solicitud falsa, y por lo tanto los datos de nadie están a salvo de nadie. Este tipo de fallo recibe el nombre de IDOR porque permite a los atacantes designar de forma insegura y directa a sus víctimas simplemente insertando un nuevo UserID directamente en la petición.

¿Qué debo hacer?

Este es nuestro consejo.

Como usuario, no te dejes llevar por las reseñas de la App Store o de Google Play.

Te sugerimos que ignores las reseñas y las calificaciones con estrellas en las tiendas de aplicaciones. No tienes ni idea de quién ha dado esas valoraciones o ha dejado las reseñas, o si incluso ha utilizado la aplicación.

Las reseñas falsas y las calificaciones de la tienda de aplicaciones que parecen oficiales se pueden comprar en línea a un precio que es casi literalmente de diez centavos. Busque reseñas en foros de usuarios independientes o discusiones en grupos de ciberseguridad en línea.

Considere la posibilidad de utilizar un software de ciberseguridad móvil de terceros para complementar la protección integrada del dispositivo que está utilizando.

Tanto Apple como Google tienen sus propias tiendas en línea que contienen aplicaciones examinadas y aprobadas. Sin embargo, estos jardines amurallados están lejos de ser perfectos. Simplemente, hay demasiados desarrolladores y demasiadas aplicaciones para que puedan ser examinadas a fondo por un experto.

Como programador, siga las propias recomendaciones del sistema operativo para una codificación segura.

Las directrices de Apple, Google y otros sobre la programación segura en sus plataformas no son suficientes por sí solas.

Sin embargo, si hay consejos de los proveedores que ha ignorado o ni siquiera conoce, es probable que su ciberseguridad no esté a la altura. Por lo tanto, trate las propias directrices del proveedor como "necesarias pero no suficientes", 

Apple, por ejemplo, tiene una amplia gama de Consejos de seguridad para programadoresque cubren la autenticación (¿es la persona correcta la que hace lo correcto?), la confidencialidad (¿están los datos a salvo de fisgones cuando se almacenan o se mueven por la red?) y la validez (¿hace el código correcto lo que debe hacer?).

Nunca deje de aprender y leer sobre ciberseguridad.

Una de las razones por las que existimos es para ayudarle a entender y combatir la ciberdelincuencia, y evitar el tipo de errores que facilitan la vida a los delincuentes.
(No vemos esto como una calle de sentido único: leemos todos los comentarios y consejos que ustedes, nuestros lectores, dejan aquí, y nos aseguramos de que nuestros desarrolladores y gestores de productos también les escuchen).

Si te estás iniciando en la nube o en el desarrollo web y quieres saber qué debes aprender primero, el OWASP Top Ten son probablemente un buen punto de partida.

Recuerde que la ciberseguridad es un viaje, no un destino.

12 03 2021

El gobierno de EE.UU. rastrea cómo se mueve la gente en la pandemia de coronavirus

Un hombre revisa su teléfono en Times Square. Los datos de los teléfonos móviles utilizados por el gobierno muestran qué espacios públicos siguen atrayendo a la gente.

WASHINGTON - Los funcionarios del gobierno de Estados Unidos están utilizando los datos de localización de millones de teléfonos móviles para comprender mejor los movimientos de los estadounidenses durante el Pandemia de coronavirus pandemia y comprender mejor su posible impacto en la propagación de la enfermedad.

El gobierno federal, a través de los Centros para el Control y la Prevención de Enfermedades y de los gobiernos estatales y locales, ha comenzado a obtener análisis de la presencia y el movimiento de personas en ciertas áreas de interés geográfico a partir de los datos de los teléfonos móviles, según personas familiarizadas con el asunto. Los datos proceden del sector de la publicidad en móviles y no de las compañías de telefonía móvil.

El objetivo es crear un portal para los funcionarios federales, estatales y locales que incluya datos de geolocalización en un número potencialmente elevado de 500 ciudades de EE.UU., dijo uno de los funcionarios, para ayudar a planificar la respuesta a la epidemia.

Utilizando los datos, que no identifican información como el nombre del propietario de un teléfono, los funcionarios pueden saber cómo se está propagando el coronavirus por el país para mitigar su progreso. Muestra qué tiendas, parques y otras zonas públicas siguen atrayendo a multitudes que podrían acelerar la transmisión del virus. En uno de estos casos, los investigadores observaron que los neoyorquinos se reunían en gran número en Prospect Park, en Brooklyn, y transmitieron esa información a las autoridades locales, dijo una persona. Se han colocado carteles de advertencia en los parques de Nueva York, pero aún no se han cerrado.

Los datos también pueden mostrar el nivel general de cumplimiento de las órdenes de permanecer en casa o mantenerse a salvo, según los expertos de dentro y fuera del gobierno, y ayudar a medir el impacto económico de la pandemia mostrando la disminución de clientes en las tiendas, el descenso de los kilómetros recorridos por los vehículos y otras métricas económicas.

Los CDC han comenzado a recibir análisis basados en datos de localización a través de una coalición ad hoc de empresas tecnológicas y proveedores de datos, todos ellos en colaboración con la Casa Blanca y otros funcionarios del gobierno.

Los CDC y la Casa Blanca no respondieron a las solicitudes de comentarios.
La creciente dependencia de los datos de localización de los teléfonos móviles sigue planteando problemas de privacidad, especialmente cuando los programas son operados o encargados por los gobiernos.

Wolfie Christl, activista e investigadora de la privacidad, dijo que la industria de los datos de localización "covidia" productos que suelen violar la privacidad.

"A la luz de la catástrofe que se avecina, puede tener sentido en algunos casos utilizar análisis agregados basados en los datos de los consumidores, incluso si los datos son recogidos subrepticia o ilegalmente por las empresas", dijo Christl. "Debido a que la verdadera anonimización de los datos de localización es casi imposible, es imperativo contar con fuertes protecciones legales". Las protecciones deben limitar el uso de los datos y garantizar que no se utilicen posteriormente para otros fines, dijo.

 

Los defensores de la protección de datos temen que incluso los datos anonimizados puedan utilizarse en combinación con otra información disponible públicamente para identificar y rastrear a las personas.

Algunas empresas del sector de los datos de localización de Estados Unidos han puesto sus datos o análisis a disposición del público, o han puesto sus datos brutos a disposición de investigadores o gobiernos. LotaData, con sede en San Francisco, lanzó un portal público para analizar los patrones de movimiento dentro de Italia que podría ayudar a las autoridades a planificar los brotes, y planea portales adicionales para España, California y Nueva York. La empresa Unacast ha lanzado un "marcador de distanciamiento social" público que utiliza los datos de localización para calificar los lugares en función de cómo sus habitantes siguen las instrucciones para estar en casa.

Otros gobiernos estatales y locales también han empezado a encargar sus propios estudios y análisis a empresas privadas. Foursquare Labs Inc, uno de los mayores proveedores de datos de localización, dijo que está en conversaciones con numerosos gobiernos estatales y locales sobre el uso de sus datos.

Los investigadores y los gobiernos de todo el mundo han utilizado un mosaico de autoridades y tácticas para recopilar datos de teléfonos móviles: a veces esperando el consentimiento voluntario de las empresas o los individuos, en otros casos utilizando leyes pensadas para el terrorismo u otras emergencias para recopilar grandes cantidades de datos de los ciudadanos para combatir la amenaza del coronavirus.

Investigadores del Instituto Tecnológico de Massachusetts han lanzado un Proyecto iniciadopara seguir a los voluntarios de Covid 19 a través de una aplicación para teléfonos móviles. Las empresas de telecomunicaciones de Alemania, Austria, España, Bélgica, Reino Unido y otros países han Datos transmitidos a las autoridadespara ayudar a combatir la pandemia. Israel's Las agencias de inteligencia han sido intervenidaspara utilizar la tecnología de rastreo telefónico antiterrorista para mapear las infecciones.

En Estados Unidos, la mayoría de los datos utilizados hasta la fecha proceden de la industria publicitaria. El sector del marketing móvil cuenta con miles de millones de puntos de datos geográficos en cientos de millones de dispositivos móviles de Estados Unidos, principalmente de aplicaciones que los usuarios han instalado en sus teléfonos y cuya ubicación puede ser rastreada. Enormes cantidades de estos datos publicitarios están a la venta.

La industria no está regulada en gran medida por las leyes de privacidad existentes porque los consumidores han consentido el seguimiento y porque los datos no incluyen nombres ni direcciones: cada consumidor está representado por una cadena alfanumérica.

Los operadores de telefonía móvil también tienen acceso a grandes cantidades de datos de geolocalización, que según la legislación estadounidense gozan de una protección de la privacidad mucho más estricta que en la mayoría de los demás países. Los mayores transportistas de Estados Unidos, entre ellos AT&T Inc. y Verizon Communications Inc. dicen que el gobierno no se ha puesto en contacto con ellos para que proporcionen datos de localización, según sus portavoces. Se ha hablado de intentar obtener datos de telecomunicaciones de Estados Unidos con este fin, pero la legalidad de esta medida no está clara.

Fuente