2023史诗级漏洞后门曝光！存在长达几十年，美国或用于监听全球

近期，荷兰研究人员发现一种用于全球关键数据和语音无线电通信的技术存在严重的安全漏洞，甚至还有一个故意设置的后门。值得一提的是，该技术一直处于保密状态，以防止任何人仔细检查其安全属性，查找漏洞。

从披露的信息来看，该后门存在于关键基础设施中用于商业用途的无线电中加密算法中，主要用于管道、铁路、电网、公共交通和货运列车中传输加密数据和命令。潜在的攻击者可以利用其窥探通信，了解系统的工作原理，然后向无线电设备发送指令，从而引发停电、天然气管道断流或火车改道。

此外，研究人员在同一无线电技术的其它模块中也发现另外一个漏洞，该技术用于专门出售给警察部队、监狱人员、军队、情报机构和应急服务的专业系统中（例如荷兰警察、消防队、救护车服务和国防部用于 关键任务语音和数据通信的 C2000 通信系统）。潜在的攻击者能够利用该漏洞解密加密语音和数据通信，并发送欺诈性信息，以传播错误信息或在关键时刻更改部队的部署。

无线电标准 TETRA 中曝出漏洞

三名荷兰安全研究人员在名为 TETRA（地面集群无线电）的欧洲无线电标准中发现了五个漏洞。自上世纪  90  年代以来，TETRA 标准一直被用于无线电中，摩托罗拉、达姆、海特拉等公司生产的设备都用了该标准，但是其使用的加密算法直到今天仍旧处于保密状态，因此漏洞可能一直不为人知。

值得注意的是，美国并没有广泛应用 TETRA 标准，但  Ampere 工业安全公司的顾问 Caleb Mathis 表示部分合同、新闻稿等文件中显示美国至少有二十多个关键基础设施使用了基于  TETRA  标准的无线电。再加上 TETRA内嵌在PowerTrunk等系统集成商提供的无线电中，因此很难确定那些厂商使用了 TETRA  标准。目前，Mathis 确定仅仅能确认美国一家州边境控制机构、一家炼油厂、化工厂、东海岸的一家大型公共交通系统、三家将其用于安保和地勤人员通信的国际机场，以及一家美国陆军训练基地等组织使用了该标准。

2021 年，荷兰  Midnight Blue 公司的 Carlo Meijer、Wouter Bokslag 和 Jos Wetzels 发现 TETRA  中存在漏洞（此时他们称之为 TETRA:Burst），并同意在无线电制造商公开缓解措施以及打补丁之前不公开披露漏洞信息。

此后，荷兰国家网络安全中心（Dutch National Cyber Security Centre）负责向全球无线电厂商和计算机应急小组通报漏洞问题，并协调研究人员公开披露这些问题的时间框架。NCSC 发言人 Miral Scheffer 表示 TETRA是荷兰和全球关键通信的重要基础，因此此类通信设备必须时刻处于安全可靠的状态。

在通告中，Miral Scheffer 证实 TETRA 漏洞允许受影响无线电附近的网络攻击者 "拦截、操纵或干扰 "通信，并指出荷兰国家通信安全委员会已通知德国、丹麦、比利时和英国等国，建议这些国家认真处理此事。

美国国土安全部网络安全和基础设施安全局的发言人表示，内部已经察觉到 TETRA 漏洞，但不愿作进一步评论。

TETRA 漏洞危害极大，研究人员一再强调任何使用无线电技术的组织都应立刻向其制造商询问，以确定其自身部署的设备是否使用了 TETRA 标准，以及有哪些可用的修复或缓解措施。此外，研究人员计划在下个月拉斯维加斯举行的 BlackHat 安全会议上公布研究成果，届时将公布详细的技术分析以及尚未向公众公开的秘密 TETRA 加密算法，并强调希望其他拥有更多专业知识的组织和个人能够深入研究这些算法。

关于 TETRA

上世纪 90 年代，欧洲电信标准协会（ETSI）开发了 TETRA 标准，该标准包括 TEA1、TEA2、TEA3 和 TEA4 四种加密算法，无线电制造商可根据产品的预期用途和客户，在不同的产品中使用这些算法。

TEA1 用于商业用途，但根据 ETSI 文件显示，对于欧洲和世界其它地区关键基础设施中使用的无线电来说，TEA1 也是为公共安全机构和军队设计的，研究人员发现警察机构也在使用它；TEA2 在欧洲被警察、应急服务、军事和情报机构限制使用；TEA3 可用于欧洲以外被视为对欧盟“友好”国家的警察和紧急服务，例如墨西哥和印度等国；研究人员表示，商业算法 TEA4 几乎不被使用。

需要指出的是，研究人员在进行开源研究后发现除美国外，全球绝大多数警察部队都使用基于 TETRA 的无线电技术。据不完全统计，包括比利时和斯堪的纳维亚国家，塞尔维亚、摩尔多瓦、保加利亚和马其顿等东欧国家以及中东的伊朗、伊拉克、黎巴嫩和叙利亚等国的警察部队、保加利亚、哈萨克斯坦和叙利亚的国防部、波兰军事反情报机构、芬兰国防军、黎巴嫩和沙特阿拉伯情报部门等也在使用它。美国和部分国家的关键基础设施在 SCADA 和其他工业控制系统设置中使用 TETRA 进行机器对机器通信，尤其是在广泛分布的管道、铁路和电网中（这些地方可能无法使用有线和蜂窝通信）

值得注意的是，虽然 TETRA 该标准本身可以公开审查，但加密算法只有在签署保密协议的情况下才能提供给受信任的各方，如无线电制造商。供应商必须在其产品中包含保护措施，以使任何人都难以提取算法并对其进行分析。为了获得这些算法，研究人员购买了一台摩托罗拉 MTM5400 无线电设备，花了四个月从无线电固件的安全包中找到并提取算法。

研究过程中，研究人员不得不使用一些零日漏洞来破解摩托罗拉的保护措施，（漏洞上报给了摩托罗拉进行修复。研究人员表示所有四种 TETRA 加密算法都使用 80 位密钥，即使在发布二十多年后，仍能提供足够的安全性，防止有人破解，但 TEA1 有一个功能，可以将密钥减少到 32 位，不到密钥长度的一半。在进行逆向工程算法后，研究人员发现的第一个漏洞是 TEA1 中的后门，研究人员使用一台标准笔记本电脑和四个密码文本，不到一分钟就破解了它。

负责 TETRA 标准的 ETSI 技术机构主席 Brian Murgatroyd 反对此漏洞称为后门。Brian Murgatroyd 指出在制定标准时，需要一种能满足出口要求的商业用途算法，以便在欧洲以外地区使用。1995 年时，32 位密钥仍能提供安全性，但以今天的计算能力，32 位密钥的安全性可能不太能够应对当前的网络威胁形式。

约翰-霍普金斯大学密码学家兼教授马修-格林（Matthew Green）称削弱的密钥无疑是一场 “灾难”。德国波鸿鲁尔大学（Ruhr University Bochum）计算机科学教授兼安全研究团队 CASA 的密码学家 Gregor Leander 更是指出在没有添加端到端加密的情况下，关键基础设施使用 TEA1 是愚蠢行为。对于外界的评论，Murgatroyd 坚称 TETRA 具有强大的身份验证功能，可以防止注入虚假通信，任何人利用该后门最多只能对数据和通话进行解密和窃听。

Wetzels 强调 TETRA 仅要求设备向网络验证自身身份，但无线电之间的数据和语音通信不需要数字签名或以其它方式进行身份验证。无线电和基站相信任何具有正确加密密钥的设备都经过身份验证，因此可以像研究人员那样破解密钥的人可以用它加密自己的消息并将其发送到基站和其他无线电。

虽然 TEA1 的”弱点“一直不为公众所知，但它在业界和政府中中显然是广为人知。在 2006 年泄露给维基解密的美国国务院电报中，美国驻罗马大使馆表示一家意大利无线电制造商询问向伊朗市政警察部队出口TETRA 无线电系统的问题，美国曾反对该计划，因此该公司代表提醒美国，其计划出售给伊朗的基于 TETRA 无线电系统中加密“小于40位”，这就意味着该系统没有使用强密钥，美国不应该反对出售。

研究人员发现的第二个漏洞并不存在于某个秘密算法中，但仍旧能够影响所有算法。当 TETRA 无线电设备与基站联系时，它们通过时间同步启动通信。网络广播时间，无线电则确定时间同步，然后两者生成与时间戳相关联的相同密钥流，对随后的通信进行加密。

Wetzels  表示网络以未经验证和加密的数据包形式广播时间，因此网络攻击者可以使用一个简单的设备拦截和收集无线电与基站之间的加密通信，同时记下启动通信的时间戳。然后就可以利用一个恶意基站与同一无线电或同一网络中的不同无线电联系，并广播与被拦截通信相关联时间相匹配的时间戳。无线电是没有”判断能力的“，它认为正确的时间就是基站所广播的时间。因此，无线电会生成当时用于加密攻击者收集到的通信密钥流。攻击者在恢复该密钥流后，就可以用它来解密之前收集到的通信。

整个过程中，为了注入虚假信息，网络攻击者可以利用基站告诉无线电时间是明天中午，并要求无线电生成与未来时间相关的密钥流，一旦攻击者得到密钥流，就可以使用密钥流加密自己的虚假信息，并在第二天中午使用该时间的正确密钥流向目标无线电发送信息。

但是 ETSI 的 Murgatroyd 淡化了这种攻击，称 TETRA 的强认证要求可以防止未经认证的基站注入信息，对于这一说法，Wetzels 很是反对并指出 TETRA 只要求设备对网络进行认证，而不是相互认证。

研究人员在欧洲警方、军方和紧急服务部门使用的 TEA2 算法中没有发现任何弱点，但最开始认为在 TEA3 中发现另一个后门，再加上 TEA3  是 TEA2 的可出口版本，有充分理由怀疑它也可能有后门，以满足出口要求。

研究人员表示在算法中使用的 S-box 中发现了可疑之处，该 S-box 包含一种其认为 ”绝不会出现在严肃的密码学中 “的不良属性。研究人员没有足够的技术来检查它，以确定它是否可被利用。但 Leander 的团队确实对其进行了检查并表示事实并非如此。

Leander 指出在许多密码中，如果使用 S-box  这样一个盒子，就会严重破坏密码，但在 TEA3 中的使用方式，看不出留给了攻击者的可乘之机。此外，Leander 表示虽然这并不意味着其他人不会发现其中的蛛丝马迹，但 如果 S-box 能导致一种实用的攻击，自己会感到非常惊讶。

美英等国或已经利用 TETRA 漏洞窃取信息

对于研究人员发现的其它问题的修复方法，Murgatroyd 表示 ETSI 在去年 10 月发布的 TETRA 标准修订版中修复了密钥流/时间戳问题，内部还创建了另外三种算法以便供应商使用，其中一种算法取代了 TEA1。供应商已经创建了修复密钥流/时间戳问题的固件更新，但TEA1 的问题无法通过该更新来解决，目前唯一的解决办法是使用另一种算法。

对于供应商的操作，Wetzels 表示由于加密必须应用于每台设备，因此成本非常高昂，而且升级需要一定的停机时间，这对于关键基础设施来说显然很有难度，甚至可能造成与其他组件不兼容的问题。至于要求供应商换一种新算法取代 TEA1 ，Wetzels 指出这也是个问题，因为 ETSI 计划将这些算法和其它算法一样保密，并要求用户再次相信这些算法没有关键弱点。

目前，研究人员表示尚不清楚其发现的漏洞是否正在被积极利用，但是已经在爱德华-斯诺登披露的信息中找到了漏洞被利用的证据，这就意味着美国国家安全局（NSA）和英国 GCHQ 情报机构过去曾以 TETRA 为窃听目标。

另一份文件也显示了美国国家安全局（NSA）和澳大利亚信号局（Australian Signals Directorate）在 2007 年巴厘岛气候变化会议期间窃听了马来西亚警方通信的项目，并提到其获得了一些关于印尼安全部队通信的 TETRA 收集信息。此外，斯诺登泄密的文件中还描述了 2010 年，英国政府通信总部（GCHQ）可能在美国国家安全局（NSA）的协助下，在阿根廷收集 TETRA 通信信息，（此时阿根廷与英国之间因福克兰群岛（Falkland Islands）海岸外深海油田的石油勘探权关系紧张）。

文章来源：https://www.wired.com/story/tetra-radio-encryption-backdoor/