Voice call provided by 4G LTE Networks is called Voice-over-LTE (VoLTE). From the 4G network, both voice call and data application service are provided by packet switching network for better quality of service whereas voice call in 3G network uses circuit-switching network. However, because LTE network is based on all-IP and both voice call session and voice data are processed by packet in mobile equipment, the attackers can easily approach LTE network using their mobile equipment. Thus, unsuspected vulnerabilities and attacks in each service can occur from protocol design or implementation problem in IMS network. These vulnerabilities and attacks on mobile network is very fatal problem because the mobile network is treated as the national infrastructure that almost citizens are serviced.
In this work, we analyze control-plane signaling messages between mobile equipment and LTE network while VoLTE call session is established. Then, we find various vulnerabilities caused by VoLTE protocol problem or network implementation in each part. From this analysis, we first find that operators charge VoLTE call by time-usage although the VoLTE call is processed by packet-switching network. Using this vulnerability, we present free-riding attack which exploits reachability of external network using IMS interface in android based mobiles. Second, we proved that voice call session management protocol is vulnerable to gathering mobile subscriber’s IP information which is generally supposed to be known information to perform spoofing attack in data application in previous works. Third, we find that the authentication process of user registration in IMS network is not implemented correctly so that anyone who doesn’t have correct authentication key can register IMS network normally. Also, one operator in Korea does not encrypt user data in their SMS service. This means that SMS eavesdropping is possible without user’s notification. Fourth, we make phone-to-phone data injection possible in free by using the fact that the voice session is established between two mobiles. The free-riding attack using phone-to-phone data communication with VoLTE interface is hardly detected if the operators just apply general access control in their network. To detect this attack, the operators have to build a system which can determine voice data by inspecting data transmission pattern. In last, we included how the vulnerabilities in this work can leverage intended signaling storm in LTE network.
VoLTE는 4G LTE 망에서 서비스 중인 음성 및 영상통화 기술로 기존의 3G망에서 회선 교환 방식으로 제공되었던 통화방식과 달리 데이터 통신 서비스와 동일한 패킷 교환 방식을 적용한 이동통신망 기술이다. 이렇듯, VoLTE 기술은 새롭게 패킷 교환방식을 적용하여 성능적인 측면에서는 많은 향상을 기대할 수 있지만 이전 3G 통신망과 달리 LTE 망은 all-IP 기반의 통신망이며 단말에서 패킷 단위로 음성 데이터를 처리함으로써 프로토콜 설계 과정 혹은 VoLTE 전용망의 구현 상의 실수로 다양한 보안 취약점이 발생할 수 있다. 상용 이동통신망은 민영회사에 의해 운영되지만 대다수의 국민이 이용하는 국가 기반시설로 볼 수 있으므로 이러한 이동통신망의 보안 취약점 및 공격은 매우 큰 파급효과를 가진다.
본 논문에서는 DM 장비를 이용하여 음성 또는 영상 통화 시 이동통신망과 단말간에 발생하는 제어 영역 (control plane)의 신호들을 추출하고 분석하여 통화 시 각 단계에서 발생할 수 있는 취약점들을 찾아내었다. 먼저, VoLTE 과금 정책이 패킷 단위가 아닌 시간 단위로 책정됨으로써 통화 전용 인터페이스 상에서 외부 인터넷 망에 과금되지 않고 접속할 수 있는 취약점을 발견하였다. 또한 기존의 단말에서 데이터 통신 기능 관련 스푸핑 공격에서 가정하고 있는 목표 단말의 주소 정보를 VoLTE 통화 연결 프로토콜을 이용하여 직접 알아 낼 수 있으며, VoLTE 영상 통화 시 단말에서 영상 패킷을 처리하기 위한 인터페이스를 이용하여 단말 간 데이터 통신이 가능함을 확인하였다. 위와 같이 통화 전용 인터페이스를 이용한 단말 간 데이터 통신은 이동통신망에서 과금되지 않고 이용될 수 있으며 일반적인 접근 제한 방식으로는 정상적인 음성 또는 영상 데이터와 구분하는 것이 불가능하므로 통화 인터페이스를 통해 전송되는 데이터에 대한 패턴 분석 장비가 필요하다. 마지막으로 단말 간 데이터 통신을 이용하여 특정 사용자의 데이터 서비스 성능을 감소시키거나 다수의 사용자를 악용하여 이동통신망에 의도적인 signaling storm을 일으키는 공격의 가능성을 보여주었다.