Skip to content

Over The Air Baseband Exploit: Gaining Remote Code Execution on 5G Smartphones

Tencent Keen Security Lab'in Black Hat USA 2021 demonstrasyonu: bir 5G smartphone modem'i, kullanıcı etkileşimi olmadan, kötü niyetli bir network'ten baseband'in radio-protocol parsing'inde memory corruption tetiklenerek hâlâ tamamen over the air ele geçirilebiliyor.

Mechanism

Note

Bir 5G handset, sinyali module eden ve radio protocol stack'ini implemente eden bir modem ("baseband") içermek zorundadır. O stack radio network tarafından gelen untrusted data'yı parse eder — ve handset, tarihsel olarak serving cell'in iyi niyetli olduğuna güvenir. Bir over-the-air saldırganın istismar ettiği özellik tam da budur: kötü niyetli bir base station çalıştırarak saldırgan, modem'in parse ettiği byte'ları kontrol eder; kullanıcı etkileşimi olmadan ve herhangi bir application-processor (AP) kodu devreye girmeden önce.

Kırılan trust boundary radio-to-baseband'dir. Network'e bakan protocol parsing'in herhangi bir yerindeki bir memory-corruption bug'ı (örn. modem'in parser'ında out-of-bounds write ya da overflow tetikleyen malformed bir signaling message), remote, unauthenticated bir saldırganın baseband memory'yi bozmasına ve modem'in kendi runtime'ı içinde code execution elde etmesine izin verir. Modem, AP'nin altında yer aldığı için bu, tamamen "over the air" ulaşılan bir foothold'dur — Keen Lab'in daha önce 2G/3G/4G modem'lere karşı elde ettiği (Black Hat USA 2018) ile aynı sınıf sonuç, şimdi 5G'de de devam ettiği gösterildi.

Kavramsal invariant: modem, network-supplied message'lardaki her length, count ve offset'i, bunlara göre hareket etmeden önce validate etmek zorundadır. 5G stack'inde böyle tek bir check eksik olduğunda, saldırgan corruption'ı kontrol eder ve onu execution kontrolüne dönüştürür.

Walkthrough

Bu kayıt, herkese açık sunulan bir sonucu özetler; talk, turnkey bir exploit yayınlamak yerine 5G üzerinde tam bir over-the-air chain'in varlığını gösterir, dolayısıyla aşağıdaki yol kavramsaldır.

Setup — kötü niyetli bir 5G network. Saldırgan, hedef handset attach olup saldırgan kontrollü içerikle radio-protocol message'ları değiş tokuş etmeye başlasın diye rogue bir gNB / base station ayağa kaldırır. Kurbandan herhangi bir etkileşim gerekmez: modem, normal network prosedürlerinin bir parçası olarak signaling'i otomatik olarak işler.

Trigger — 5G stack'inde memory corruption. Araştırmacılar, 5G protocol handling'inde network-supplied data'yı parse ederek erişilebilen bir memory-corruption bug'ı buldular. Crafted bir message, modem'in parser'ında corruption'ı (out-of-bounds / overflow) tetikler.

Corruption'dan code'a. Önceki baseband çalışmalarında olduğu gibi, corruption modem runtime'ında execution kontrolü elde etmek için baseband heap/state'e karşı groom edilir; bu da 5G modem üzerinde — dolayısıyla smartphone'un radio tarafında — tamamen over the air remote code execution sağlar.

Warning

Yetkilendirme olmadan licensed spectrum üzerinde bir cellular base station ayağa kaldırmak yasa dışıdır; bu araştırma shielded RF ortamlarında yapılır. Herkese açık talk, weaponize edilmiş, reproducible bir chain'i kasıtlı olarak atlar ve spesifik vulnerable message/offset açık abstract'ta yayınlanmaz, dolayısıyla bu kayıt kavramsal kalır.

Bu, baseband attack model'inin temsili bir örneğidir; cihaza özgü chain'lerle karşılaştırın: MediaTek baseband RCE (CVE-2022-21744) and Samsung Shannon RLC overflow.

Detection

  • Network tarafı: rogue/fake base station tespiti (beklenmedik gNB, zorlanmış re-selection, IMSI-catcher imzaları) birincil harici sinyaldir.
  • Cihaz üzerinde: 5G protocol handler'larında modem crash/reset'leri ya da bilinmeyen bir cell'e attach olduktan sonra beklenmedik modem davranışı.
  • Fleet management: vendor baseband patch seviyesini doğrula (gösterilen sorunlar etkilenen vendor'a raporlandı ve onun tarafından fix edildi).

Mitigation

  • Altta yatan parser bug'ını fix eden vendor baseband security update'lerini uygula.
  • Baseband hardening: tüm network-supplied length/count/offset field'larının bounds-checked parsing'i, modem runtime'ında exploit mitigation'ları ve compromise olmuş bir modem'in AP memory'ye doğrudan erişememesi için güçlü AP/baseband isolation'ı.
  • Rogue base station'lara karşı operatör tarafı mitigation'lar (örn. 5G-SA deployment'larında mevcut authentication iyileştirmeleri) attach yüzeyini azaltır.

References