通过称为长期演进(LTE)的标准的移动语音呼叫的出现，已为​​全球数百万手机用户带来了福音。VoLTE是LTE语音的简称，提供的容量最多是早期3G标准的三倍，从而带来了高清音质，这是对上一代产品的巨大改进。VoLTE还使用与用于通过Internet发送数据的IP标准相同的IP，因此它能够与更广泛的设备一起使用。VoLTE做到了所有这些，同时还提供了以前的蜂窝技术无法提供的安全层。

现在，研究人员已经证明了一个弱点，它允许资源有限的攻击者窃听电话。他们的技术被称为ReVoLTE，它使用软件定义的无线电将运营商的基站发送到攻击者选择的电话的信号拉出，只要攻击者连接到同一蜂窝塔(通常在几百米到几米之内)公里)并知道电话号码。由于许多运营商实施VoLTE的方式存在错误，攻击将密码加密的数据转换为未加密的声音。结果是威胁到越来越多的手机用户的隐私。费用：约7,000美元。

非常安全

鲁尔大学波鸿分校和纽约大学的研究人员在第29届USENIX安全研讨会上发表的一篇论文中写道：“数据机密性是LTE的主要安全目标之一，也是对我们的通信基础设施信任的基本要求。” “我们引入了ReVoLTE攻击，它使攻击者能够根据LTE协议的实现缺陷来窃听和恢复加密的VoLTE呼叫。”

VoLTE在电话和基站之间传递的呼叫数据进行加密。然后，基站解密该业务，以允许其传递到蜂窝网络的任何电路交换部分。然后，另一端的基站将在呼叫传输到另一方时对其进行加密。

ReVoLTE所利用的实施错误是，当基站相继进行呼叫时，基站倾向于使用某些相同的加密材料来加密两个或多个呼叫。攻击通过捕获目标呼叫的加密无线电流量来抓住这一错误，研究人员将其称为目标或首次呼叫。当第一个呼叫结束时，攻击者会迅速向研究人员发起与目标的密钥流呼叫，同时嗅探加密的流量并记录未加密的声音，通常称为纯文本。

研究人员是这样描述的：

攻击包括两个主要阶段：记录阶段，在该阶段中，对手记录受害者的目标呼叫;以及呼叫阶段，随后与受害者进行呼叫。对于第一阶段，对手必须能够在下行链路方向上嗅探无线电层传输，而价格便宜的硬件只要不到$ 1,400即可实现[1]。此外，当对手了解了目标eNodeB的无线电配置时，她可以将记录的流量解码到加密数据(PDCP)。但是，我们的攻击者模型并不要求拥有受害者的任何有效密钥材料。第二阶段需要使用现成的商业电话(COTS)，并了解受害者的电话号码以及他/她的当前位置(即，无线电小区)。

然后，攻击者比较第二次呼叫的加密流量和纯文本流量，以推断出用于加密呼叫的密码位。一旦拥有了这个所谓的“密钥流”，攻击者便会使用它来恢复目标调用的明文。

研究人员在一篇文章中解释说： “ ReVoLTE攻击利用了同一密钥流的重用，可以在一个无线电连接中进行两次后续呼叫。” “此弱点是由基站(eNodeB)的实现缺陷引起的。”

ReVoLTE有其局限性。约翰·霍普金斯大学(Johns Hopkins University)专门研究密码学的教授Matt Green 解释说，现实世界中的限制因素(包括使用中的特定编解码器，编码音频的代码转换方式不一而足，以及数据包头的压缩)可能会使得难以获得完整的呼叫的数字纯文本。没有明文，解密攻击将无法进行。他还说，密钥流调用必须在目标调用结束后约10秒内进行。

此外，可以解密的目标调用的数量取决于密钥流调用持续的时间。仅持续30秒的密钥流调用将仅提供足够的密钥流素材来恢复30秒的目标呼叫。当基站遵循禁止重复使用密钥流的LTE标准时，ReVoLTE也将不起作用。就像已经提到的那样，攻击者必须与目标位于同一蜂窝塔的无线电范围内。

尽管有这些限制，研究人员仍能够恢复他们窃听的89%的对话，这一成就证明，只要基站错误地实施LTE，ReVoLTE在现实环境中就是有效的。所需设备包括(1)连接到蜂窝网络并记录流量的商用现货电话，以及(2)用于对LTE下行链路流量进行实时解码的商用Airscope软件无线电。

研究人员写道：“对手只需投资不到7,000美元，即可创建具有相同功能并最终具有解密下行流量的功能的设置。” “虽然我们的下行链路ReVoLTE已经可行，但是更复杂的对手可以通过使用上行链路嗅探器扩展设置来提高攻击效率，例如SanJole的WaveJudge5000，我们可以利用相同的攻击向量并同时访问两个方向。”

我容易受到伤害吗?

在最初的测试中，研究人员发现，德国15个随机选择的基站中有12个复用了密钥流，使通过它们传输的所有VoLTE呼叫都变得脆弱。向行业组织全球移动应用系统报告了他们的发现之后，重新测试发现受影响的德国运营商已修复了其基站。随着全球120多个提供商以及1200多种不同类型的设备支持VoLTE，完全消除窃听漏洞可能需要花费更多时间。

研究人员写道：“但是，我们需要考虑全球范围内的大量供应商及其大规模部署。” “因此，提高对漏洞的认识至关重要。”

研究人员已经发布了一个Android应用程序，该应用程序将测试网络连接是否易受攻击。该应用程序需要支持VoLTE并运行Qualcomm芯片组的植根设备。不幸的是，这些要求将使大多数人难以使用该应用程序。

AT&T官员在一份声明中写道：““我们了解这项研究，已经与行业专家和供应商进行了审查，并确定我们的网络可以减轻与该漏洞相关的风险。” 一位发言人表示，该运营商还按照研究论文的建议，通过VoLTE使用了更高层的加密功能，以提高机密性。

我给Verizon和Sprint / T-Mobile发了电子邮件，询问它们的任何基站是否容易受到ReVoLTE的攻击。到目前为止，都没有任何回应。如果以后再回复，此帖子将更新。

“彻底毁灭”

ReVoLTE建立于2018年由加利福尼亚大学洛杉矶分校的计算机科学家发表的开创性研究论文的基础上。他们发现，LTE数据经常以不只一次使用相同密钥流的方式进行加密。通过对加密数据和相应的明文流量使用所谓的XOR操作，研究人员可以生成密钥流。有了它，从第一次调用中解密数据就很简单了。

下图显示了ReVoLTE如何做到这一点：

Rupprecht等。

“密钥流调用使攻击者可以通过将侦听到的流量与密钥流调用纯文本进行XOR运算来提取密钥流，” ReVoLTE研究人员解释说。“然后使用密钥流块来解密相应的捕获目标密文。因此，攻击者将计算目标呼叫的明文。”

虽然ReVoLTE利用了LTE的错误实现，但约翰·霍普金斯的格林表示，部分错误在于标准本身的不透明性，他将此缺点比喻为“乞求幼儿不要玩枪”。

他写道：“不可避免地，他们会那样做，可怕的事情将会发生。” “在这种情况下，放电枪是一种密钥流重用攻击，其中两个不同的消息与相同的密钥流字节进行异或。众所周知，这完全破坏了邮件的机密性。”

研究人员提出了一些建议，蜂窝服务提供商可以遵循这些建议来解决该问题。显然，这意味着不重用相同的密钥流，但事实证明，它并不像看起来那样简单。短期对策是增加所谓的无线承载身份，但是由于数量有限，运营商还应使用小区间切换。通常，这些切换可使电话在从一个小区转移到另一个小区时保持连接。内置的密钥重用避免使该过程也对安全性很有用。

研究人员写道：“作为长期解决方案，我们建议为VoLTE指定强制性的媒体加密和完整性保护。” “这可以长期缓解已知问题，例如密钥重用和无线电层缺少完整性保护，并引入了额外的安全层。”