A rápida evolução das redes móveis para a tecnologia 5G trouxe consigo não apenas avanços significativos, mas também desafios de segurança. Recentemente, uma coleção de falhas de segurança foi identificada na implementação de firmware de modems 5G de grandes fornecedores de chipsets, incluindo MediaTek e Qualcomm. Essas vulnerabilidades, agrupadas sob o nome “5Ghoul,” impactam não apenas modems USB e dispositivos IoT, mas também centenas de modelos de smartphones rodando Android e iOS.
O impacto nas marcas líderes
As consequências das 14 falhas, sendo 10 delas afetando modems 5G de empresas proeminentes como MediaTek e Qualcomm, são significativas. Os pesquisadores do Grupo de Pesquisa ASSET da Universidade de Tecnologia e Design de Cingapura identificaram que até 714 smartphones de 24 marcas foram impactados. Dentre as marcas estão Vivo, Xiaomi, OPPO, Samsung, Honor, Motorola, realme, OnePlus, Huawei, ZTE, Asus, Sony, Meizu, Nokia, Apple e Google.
O Hacker News mostra que essas vulnerabilidades, categorizadas como “5Ghoul,” são exploráveis para lançar ataques que podem interromper conexões, congelar a conectividade e até mesmo realizar downgrades da conectividade 5G para 4G. A gravidade dessas vulnerabilidades é destacada pela classificação de três delas como de alta gravidade, evidenciando a urgência na correção desses problemas.
| Vulnerabilidade de Implementação | Modems/Smartphones Afetados | Protocolos | Impacto | Status do CVE |
|---|---|---|---|---|
| V1 – Alocação de recursos PUSCH inválida | OAI UE | RRC | DoS | Pendente |
| V2 – Mensagem RRC dedicada NAS vazia | OAI UE | RRC, NAS | DoS | Pendente |
| V3 – Configuração RRC inválida | Fibocom FM150-AE, Simcom SIM8202G | RRC | DoS | Remendado |
| Telit FT980m | ||||
| (7.1) V4 – Reconfiguração RRC inválida | Simcom SIM8202G | MAC, RRC | DoS | Remendado |
| Telit FT980m | ||||
| (7.2) V5 – PDU MAC/RLC inválida | Simcom SIM8202G, Telefone Asus ROG 5s | MAC, RLC | DoS | CVE-2023-33043 |
| Telit FT980m | ||||
| (7.3) V6 – PDU desconhecido do NAS | Fibocom FM150-AE, Telefone Asus ROG 5s | NAS | DoS | CVE-2023-33044 |
| Telit FT980m | ||||
| (7.4) V7 – Desativando 5G/Downgrade via RRC | Simcom SIM8202G, Fibocom FM150-AE, Quectel RM500Q-GL | RRC | Pendurar/Rebaixar | CVE-2023-33042 |
| (7.5) V8 – Configuração RRC inválida spCellConfig | OnePlus Nord CE 2 5G, Xiaomi Redmi K40 | RRC | DoS | CVE-2023-32842 |
| (7.6) V9 – RRC pucch CSIReportConfig inválido | OnePlus Nord CE 2 5G, Xiaomi Redmi K40 | RRC | DoS | CVE-2023-32844 |
| (7.7) V10 – Sequência de dados RLC inválida | OnePlus Nord CE 2 5G, Xiaomi Redmi K40 | RLC | DoS | CVE-2023-20702 |
| (7.8) V11 – RRC fisicamenteCellGroupConfig truncado | OnePlus Nord CE 2 5G, Xiaomi Redmi K40 | RRC | DoS | CVE-2023-32846 |
| (7.9) V12 – RRC searchSpacesToAddModList inválido | OnePlus Nord CE 2 5G, Xiaomi Redmi K40 | RRC | DoS | CVE-2023-32841 |
| (7.10) V13 – Elemento de configuração de uplink RRC inválido | OnePlus Nord CE 2 5G, Xiaomi Redmi K40 | RRC | DoS | CVE-2023-32843 |
| (7.11) V14 – Elemento de configuração de uplink RRC nulo | OnePlus Nord CE 2 5G, Xiaomi Redmi K40 | RRC | DoS | CVE-2023-32845 |
Descobertas detalhadas e impacto nas vulnerabilidades
As vulnerabilidades, identificadas como V1 a V14, revelam falhas em procedimentos de anexação e autenticação RRC, expondo os modems USB 5G da Qualcomm e smartphones habilitados para 5G, como o Asus ROG Phone 5S e OnePlus Nord CE 2. Estas falhas, confirmadas pela Qualcomm como de alta gravidade, incluem violações de acesso à memória e travamentos relacionados à memória durante a troca da conexão de configuração RRC.
Procedimentos vulneráveis e fases de ataque
As vulnerabilidades do “5Ghoul” tornam-se evidentes durante a fase de pré-autenticação da comunicação entre o Equipamento do Usuário (UE) e a Estação Rádio de Base (gNB). Surpreendentemente, esses ataques não requerem informações secretas do cartão SIM do UE para serem bem-sucedidos, destacando uma vulnerabilidade significativa na segurança da comunicação 5G.
O procedimento RRC Attach, central na maioria das vulnerabilidades, foi particularmente explorado, resultando em travamentos e afirmações relacionadas à memória em dispositivos como o OnePlus Nord CE 2, que utiliza o modem MediaTek Dimensity 900 5G.
Ataques de downgrade e impacto nos usuários
Além de revelar vulnerabilidades que causam negação de serviço, o “5Ghoul” também demonstra a capacidade de realizar ataques de downgrade. Essa classe de vulnerabilidade força uma mudança forçada na conectividade do usuário de uma tecnologia de rede mais recente, como 5G NR, para uma mais antiga, como LTE ou inferior. A vulnerabilidade V7, por exemplo, impede que dispositivos afetados se conectem a qualquer rede 5G, enquanto a conexão a tecnologias mais antigas, como 4G, permanece possível.
Correção das falhas nos modems
As empresas afetadas, como MediaTek e Qualcomm, responderam ao lançar patches para 12 das 14 falhas identificadas. Contudo, a retenção de detalhes de duas vulnerabilidades por motivos de confidencialidade destaca a complexidade e os desafios na implementação de soluções de segurança. Os pesquisadores alertam que o processo de distribuição de patches para o usuário final pode levar meses, afetando a segurança dos dispositivos durante esse período.
Estimando o alcance do 5Ghoul
Para compreender o alcance total dessas vulnerabilidades, foi realizada uma análise para estimar o número potencial de smartphones 5G afetados pelo 5Ghoul. Utilizando web scraping, foram identificados modelos de smartphones que empregam modems 5G vulneráveis da Qualcomm e MediaTek. O resultado revelou uma lista abrangente de dispositivos afetados, evidenciando a necessidade de ações rápidas para proteger os usuários.
