Touching the Untouchables: Dynamic Security Analysis of the LTE Control Plane学习笔记

摘要：本文介绍了对LTE网络控制面进行动态安全性测试的研究方法。采用半自动化测试工具LTEFuzz对一个开源的LTE软件进行测试。流程如下：通过分析标准，定义了三个基本安全属性，生成测试用例；LTEFuzz将测试用例发往目标网络；监视设备日志，区分出有问题的行为。本文发现了36个未公开漏洞，分为五类：对以下情况的处理不当（1）未保护的初始程序（2）普通请求（3）无效的完整性保护消息（4）重放消息（5）安全程序旁路。通过对运营的LTE网络进行概念验证攻击确定了这些漏洞。攻击导致网络拒绝合法用户的LTE服务请求，欺骗SMS消息，或者窃听/操纵用户数据。本文也提出了解决这些问题的原因分析和潜在对策。移动运营商部分参与维持道德标准和在商用LTE网络中验证我们的发现。

简介

目前已发现的LTE控制面漏洞（这些都是用户侧的漏洞，而网络侧的漏洞影响范围更广）：

1. 通过中继移动设备和网络之间的LTE通信以劫持设备的定位、重定向设备的DNS请求；
2. 使用流氓基站追踪用户设备的位置、利用设备的设计缺陷和执行bug拒绝LTE服务

网络侧的动态测试挑战：

1. 商用智能手机在几代芯片组上实现控制面协议，导致其利用控制面协议难度很大；
2. 部署的运营网络是封闭系统，其配置是专有的，设备无法获得控制面日志，难以确定设备侧问题的致因；
3. 使用未经认证的设备无法向运营网络传输信号。

为了解决这些问题，（1）本文使用了开源的LTE软件实现了一种半自动化的测试工具LTEFuzz，能够动态地向目标网络或设备生成和发送测试用例，监视目标网络或设备的反应来鉴别异常情况，（2）与运营商合作以避免道德问题：对每个导致异常地测试用例，采访运营商以确定其是否会干扰LTE网络。有干扰其他用户的潜在风险的测试用例将独立处理。考虑到对频段使用的规定，测试设备将作为独立的LTE设备单独执行测试用例。使用我们的LTE手机的身份发送欺骗消息，因此只有我们的手机可能会受到影响。最后我们根据审查3GPP标准以及与运营商面谈推断出根本原因，证实了我们的发现。

本文做了什么：

1. 首先根据分析网络组件的正确行为和3GPP标准中关于安全性的规定创建了三个安全属性，使用它们确定了目标消息的范围以及特定测试用例的生成规则；
2. 用一年时间收集全球范围内的商用网络控制平面日志建立数据库，对库中的输入进行变异，生成测试用例（只使用输入的原因：避免接收节点中由于解析错误导致的崩溃）；
3. 总共13条消息用于监视网络节点的行为，29条消息用于监视商用设备的行为。

本文贡献：

1. 提出了LTE网络控制面的漏洞检测方法，可以只通过创建具体的安全属性和测试用例检查几个控制面协议的多个安全方面。
2. 首次分析了由商用网络控制平面节点的不恰当处理导致的问题，发现了51个漏洞（36个新漏洞以及15个已公布漏洞），主要由对以下情况的不恰当处理导致（1）未保护的初始程序（2）普通请求（3）无效的完整性保护消息（4）重放消息（5）安全程序旁路。
3. 说明了我们发现的漏洞可以被攻击者利用，造成拒绝向目标用户或任意用户提供LTE服务、欺骗控制面实现隐私泄露、发送欺骗SMS、窃听和操纵用户数据。

LTEFuzz介绍

流程：

1. 提取安全属性：分析LTE控制平面标准的安全部分，创建了网络和设备为了免受未知安全威胁要遵守的三个安全属性。
2. 生成测试用例：用来识别目标控制平面组件违反安全属性的情况，此步骤基于目标协议消息的指定规则和每个属性的字段。
3. 鉴别异常行为：执行测试用例时，要明确UE侧的哪些反应和状态改变属于异常情况。为此，本文建立了一个简单的决策树逻辑来鉴别异常用例。我们的模型仅在执行测试用例时考虑UE侧的控制平面日志和状态，因此，该模型能够自动鉴别异常用例。

提取安全属性

经过对标准的全面分析，我们发现了可能造成 利用运营商的执行和配置政策绕过控制面的加密和完整性保护过程 的潜在漏洞。（1）建立安全上下文之前的初始化过程可能被能窃听和操纵LTE信号的敌方利用；（2）特殊情况下，接收方会接受未经完整性保护的消息，见协议标准；（3）即使标准在控制平面协议（如NAS和RRC）中采用了计数器，并要求在验证消息完整性时在接收的消息中使用序列号（计数器的部分位），因此可能允许重发消息。
通过这些观察创建了三个基本安全属性：

安全属性	目标过程/消息	举例
应正确处理无效的明文信息	可以作为明文发送的消息/不能作为明文发送的消息	RRC连接请求、IXSI附着请求/GUTI附着请求、上行NAS传输
应正确处理无效的安全保护信息	无效完整性保护的消息/有无效序列号的消息	PDN断开连接请求、服务请求
不应该绕过强制性安全进程	相互认证过程/密钥协商过程	认证请求/NAS、RRC安全模式要求

• 属性1：接收方能否正确处理敌方在初始化过程发送精心制作的明文。两种情况：安全性激活之前和安全性激活后不能发送未保护消息。针对第一种情况，检查不能被LTE对称密钥加密的明文消息；针对第二种情况，检查小区能否正确拒绝或丢弃不符合标准的无效明文消息。敌方可能会干扰UE的连接状态或当接收方没有正确处理经过安全性保护的消息时暴露UE的隐私信息。敌方能够创建并发送有任意内容的明文消息，但这些消息并不有效。例如，RRC建立过程没有被保护，敌方可以在RRC建立过程中欺骗网络中的实体，没有安全措施的基站会接受虚假的消息；NAS附着请求步骤，敌方可以利用基站的GUTI发送NAS附着请求消息，导致该基站断开连接。
• 属性2：接收方能否正确处理没有用正确安全报头封装的消息。NAS的AKA步骤之后的所有消息都应该进行加密和完整性保护，除了 附着请求、TAU请求和安全模式要求 只进行了完整性保护。接收方是否验证消息的完整性和序列号。若不验证完整性，敌方可以伪造任何未加密消息；若不验证序列号，攻击者可以对截获的安全保护消息使用重放攻击。例如，若MME不验证消息的完整性，攻击者可以进行SMS钓鱼攻击；攻击者可以伪装成UE进行重放攻击，可能导致拒绝服务。
• 属性3：恶意用户或网络能否绕过安全进程。UE和网络相互认证包括NAS认证过程和RRC、NAS层的安全模式协商过程。三种方法检查这些进程是否被绕过：对LTE标准采用的加密算法进行安全性分析（不再本文考虑范围）；考虑攻击者操纵加密、完整性保护算法和安全报头的情况（有人做了，作者发现只有一个商用调制解调器存在漏洞）；省略部分强制性安全进程。如果设备允许这种情况，那么没有合法设备加密密钥的流氓LTE网络甚至可以提供被操纵的服务而无需加密和完整性保护。其后果尚未调查和公开，因此限制该安全属性的范围以验证UE是否正确处理恶意LTE网络绕过强制安全过程的情况（例如RRC和NAS层中的认证请求和安全模式要求）。

生成测试用例

如果考虑每个消息中所有可能字段的输入，则存在多个测试用例。例如对无效的NAS附着请求明文消息生成测试用例，要考虑24个字段。为了降低成本，LTEFuzz利用商业控制面的消息日志。我们通过发送AT命令触发基带芯片组中的许多功能来收集各种控制平面消息，并使用这些日志建立了数据库来按运营商分类存储收集的消息中各个字段的所有值。当生成验证序列号的测试用例时，我们通过抓取UE侧的数据包生成所有的测试用例；当要生成初始明文消息和MAC无效消息的测试用例时，只考虑必填字段。当测试用例消息包含UE的标识字段时，要包含UE的当前标识如GUTI或IMSI，以检查接收实体是否改变了UE的状态。

鉴别异常行为

LTEFuzz通过决策树监视UE侧日志来鉴别异常行为。决策树有两个阶段：（1）测试用例是否被接受（2）测试用例是否造成UE断开连接。在第一阶段，根据3GPP标准定义接受实体接受测试用例的预期回复。LTEFuzz检查测试用例发送后UE是否收到与其回复。例，测试用例时NAS Idetity request ，预期回复就是NAS Identity response。如果收到了该消息，就认为是异常的，因为无效的测试用例是不应该被接受的。在第二个决策阶段，检查受害者UE是否与网络断开连接。如果断开了，属于异常情况一，可能导致对受害者UE拒绝服务。如果没断开或不知道是否断开连接，属于异常情况二，可能被用于发起欺骗攻击。如果测试用例在第一阶段没有被接受，受害者UE也从网络断开连接，属于异常情况三，可能是由于接收实体对无效消息不能正确处理。否则，测试用例是良性的，属于情况四。

道德考虑

• 在运营商网络测试：所有的测试用例都来源于运营商网络控制面日志，都能被接收实体正确解析；只在我们的已注册手机上执行测试用例，不影响其他合法用户的连接状态；如果接收实体接受了测试用例，只可能改变我们目标设备的连接状态；可能影响其他UE的测试用例只（1）先利用未在运营网络中使用的频带对毫微微蜂窝基站进行测试（2）在运营商的测试台上进行测试。
• 在商用手机上测试：为了防止普通用户连接入我们的测试台 网络，我们只利用未在运营商网络中使用的频段；我们的基站功率设置到最低，只有20厘米内的UE能接入我们的测试台。
• 法律约束：我们的测试得到了几家运营商的许可。测试后我们向运营商详细汇报了测试结果。

实现

我们尽量自动化进行测试，运用了开源的LTE栈和一个控制面日志工具SCAT。实验配置和实现分为两类：

• 检查上行链路测试用例的运营商网络组件。测试设备扮演恶意UE，向目标运营商发送精心构造的携带测试用例输入的消息。测试设备使用srsLTE的UE栈。测试流程如下：测试设备通过在RRC和NAS层伪造受害者UE的身份，假装受害者UE发送测试用例；每当测试设备执行一条测试用例，利用SCAT观察受害者UE的行为。我们在测试设备和受害者UE之间建立了一条通信隧道，以自动执化此过程。受害者UE准备好后，测试设备执行测试用例并向受害者UE发送通知；收到通知后，受害者UE向公共网络发送PING请求，并检查PING回复；如果回复是“网络不可达”，测试用例被打上“撤销注册”的标签；最后，我们分析UE侧的日志并根据决策树对测试用例进行分类；为了验证每个测试用例的有效性，我们通过考虑以下三种情况来进行上行链路测试（1）受害者和测试设备在同一个小区（2）不同小区的同一基站（3）同一MME池的不同基站。
• 检查下行链路测试用例的商用移动设备。测试设备作为在openLTE上实现的流氓LTE网络，受害者UE接入主机PC以得到控制面日志。测试流程如下：一旦将测试用例作为输入提交给流氓LTE网络，它就会等到受害者尝试连接到我们的网络；当受害者发送RRC Connection request消息，我们的流氓LTE网络按照测试用例中的规定运行，并通知受害者测试已经被执行；收到通知后，受害者保存控制面的消息。另外，为防止受害者进入无法恢复正常的无效状态，主机PC发送Android Debug Bridge command强制受害者UE重启。

测试结果

在两个一级运营商网络（有三个不同的MME和三个基站）和商用UE（包括三个不同的基带供应商）上执行了动态测试，测试结果显示我们在不同的目标网络组件和设备供应商中发现了51个漏洞。我们通过采访运营商的同行，确认了大多数测试结果的有效性。 分为五类：

1. 初始RRC过程未被保护。
   测试用例观察：在RRC连接过程既不加密也不完整性保护，因此所有关于RRC连接过程的消息都属于情况1或情况2，可被用于在RRC连接过程中欺骗内容或拒绝受害者UE的连接。例如，若攻击者改变了RRC Connection request消息中UEID为受害者UE的S-TMSI，它可以欺骗基站受害者UE储在RRC CONNECTED状态，尽管实际上受害者UE处于RRC IDLE状态。
   根原因分析：根据3GPP标准规定，UE和MME在RRC连接过程之后通过NAS协议进行初始认证。如果由于UE发来的无效消息导致认证失败，MME向基站发送UE Context release request消息，释放已建立的RRC连接。未在特定运营商网络注册的非法用户可以连入该运营商的基站，但只能维持RRC连接几秒的时间，因为它无法回应NAS Authentication request消息。尽管如此，依然假设可以连接基站的攻击者能造成严重损害，例如阻塞RRC连接、使RRC连接断开、阻塞目标用户服务。
2. 无效上行NAS明文消息导致崩溃
   测试用例观察：我们分三种情况执行上行测试用例，在同一小区、不同小区的同一基站、不同基站同一MME池。攻击者可以通过RRC连接伪装受害者UE发送无效明文请求。三个MME收到我们的无效明文请求后有不同的异常行为。例如，测试机向MME1和MME3发送精心构造的NAS Attach request明文，它们撤销受害者UE的连接并向测试机发送释放要求，从而隐含地将受害者UE从网络中分离出来，受害者UE不会收到断开连接的通知，除非它发送NAS Service request消息初始化上行数据传输，当受害者UE收到原因为“隐含分离”的Service reject，它会启动附着过程重新接入LTE网络，这会导致几秒钟的断开连接。在另一种情况，收到NAS Detach request消息，三个MME立刻取消受害者UE的注册，向测试机回复NAS Detach accept消息。MME2对NAS上行传输不做任何保护，攻击者可以利用这一点向任意用户发起SMS钓鱼攻击而不被收取费用，只要他们注册了与易受攻击运营商签订了漫游协议的运营商。
   根原因分析：根据3GPP标准，只有在无有效安全上下文时才可以对初始消息不进行安全保护，此时MME要建立新的安全上下文，第一步是认证。因此从我们的测试机收到伪造的未经保护的初始化请求后MME要进行认证过程来确定消息是否来自合法用户，而不是处理消息或立即断开连接。假设攻击者没有有效的安全上下文，它不能进行认证过程，那么已经存在的合法UE的连接不会被影响，因此据观察测试情况，只要在MME中正确处理，受害者UE不会被隐含地从网络分离。这三种MME都没有正确处理无效的明文请求。
3. 无完整性检查可能造成欺骗攻击
   测试用例观察：我们的测试机采用不正确的MAC构造安全保护的NAS消息，并发送给MME或UE来检查他们是否能恰当地验证MAC。属于情况1和情况2地MME没有验证MAC，简单地接受了无效消息。例如，测试机发送有无效MAC的上行NAS传输消息，MME将它当作有效的接受了该消息，SMS就被发往了目标UE。属于情况3的MME验证出了无效MAC，但是这导致MME撤销了受害者UE的注册。
   根原因分析：根据3GPP标准，安全上下文建立后UE和MME都应该对NAS消息进行完整性检查，但我们推设备供应商误解了在特殊情况下MME对无完整性保护的NAS消息的接受，如在安全上下文建立之前发送消息。失败的完整性保护验证应该导致MME在维持受害者UE连接的同时丢弃或拒绝接收到的消息。
4. 接受重放消息
   测试用例观察：我们检查了接收实体能否验证序列号以避免重放攻击。结果证明MME和UE都会把一些伪造的NAS消息当作有效的并接受。例如，测试机发送NAS PDN disconnect request，测试机收到一个被安全保护的NAS消息，而受害者UE在不知情的情况下丢失了数据承载；测试机发送重放NAS TAU request消息给MME3，它回复NAS TAU accept消息，即MME3错误地更新了受害者UE的TA；重放NAS TAU request消息发给MME1，它立即取消了受害者UE的注册，而测试机收到RRC Connection release。对下行NAS消息，我们证实了HiSilicon基带接受了重放消息，攻击者可以进行欺骗攻击。
   根原因分析：3GPP标准要求MME和UE都支持对安全保护的NAS消息的重放保护，且为供应商提供了重放保护方法。但同时又要求接收实体为NAS消息的完整性保护使用NAS序列号。完整性验证成功后，接收实体要使用收到的序列号值更新本地计数器。完整性验证与重放保护互相矛盾。三个MME至少对于一条NAS消息很容易受到重播攻击，而且我们的一个目标基带接受了重播消息。
5. 安全过程可以被绕过
   测试用例观察：针对属性3，检查了三种测试用例（1）跳过RRC层的密钥协商过程以废除RRC和用户数据的安全上下文（2）跳过NAS和RRC层的密钥协商过程废除整个控制面和数据面的安全上下文（3）跳过RRC和NAS层AKA的所有安全过程。只有第一种用例在目标设备上成功执行。攻击者可以利用此用例伪造RRC消息得到UE的隐私信息，并窃听用户的通信。
   根原因分析：根据标准，UE和网络间的按全国城市强制执行的，我们认为一些商用设备供应商没有遵守标准，才造成允许RRC层的安全密钥协商过程被绕过。此漏洞根植于商用基带芯片组的实现缺陷。

利用eNb的攻击

1. BTS资源耗尽攻击
   每个商用基站根据硬件和软件的要求有最大有效用户连接能力，此攻击会降低该能力，从而阻止其他用户接入目标基站。
   攻击模型： 攻击者通过被动监听广播信息获取目标基站的连接信息。
   攻击过程：攻击者重复发起随机接入过程，不断建立RRC连接。正常情况下，RRC连接建立后立即发起NAS连接过程。在我们的攻击中，攻击者发送NAS Attach request，包含一个随即用户的IMSI，收到NAS Authentication request消息后重启随机接入建立新的RRC连接。此攻击成功的条件是建立的RC连接数量要大于被释放的RRC连接。
   攻击实现：使用USRP B210作为软件载体，srsUE搭建恶意UE。让UE每收到NAS Authentication request消息就发起新的随机接入过程，以此得到不同的C-RNTI.如果发送相同的C-RNTI，基站认为它是来自同一个RRC连接的重复请求。
   验证：COTS femtocell作为基站，基于OAI搭建EPC网络测试平台。为了可以建立在一块USRP设备上的虚假RRC连接的数量，验证在femtocell上存在的有效RRC连接数量，16个。攻击时，经过0.762秒建立了16条RRC连接，我们可以在一秒内建立20条RRC连接。如果运营商基站在10秒后释放无效RRC连接，我们可以建立200条连接。如果攻击者在建立原因字段填写“紧急”，甚至可以造成已有RRC连接被释放。
2. 盲目DoS攻击
   此攻击通过假装受害者UE建立RRC连接来拒绝目标UE。
   攻击模型：攻击者在受害者连接的基站有效范围内发起攻击，且通过三种方式得知受害者的S-TMSI（1）攻击者知道受害者的手机号码或社交账号，发起静音寻呼攻击（2）在受害者附近的攻击者利用流氓基站得到受害者的NAS TAU request消息，包含S-TMSI，收到消息后立即关闭流氓基站另受害者UE连入运营商网络（3）嗅探到目标UE的RRC连接过程，得到RRC Cnnection request中携带的S-TMSI。
   攻击过程：在RRC Connection request消息的ueID字段填写受害者UE的S-TMSI，来假装受害者UE建立RRC连接。
   攻击实现：修改了srsUE加入目标UE的S-TMSI，并且也不回复NAS Authentictaion request消息。
   验证：根据受害者UE的转变港台分为两类（1）RRC IDLE状态，受害者UE请求建立RRC连接时，基站记录其处于RRC CONNECTED状态并通知MME，因此不发起寻呼过程，此时受害者与服务基站断开连接而不自知，到来的数据和消息都被阻塞，却没有任何通知，直至为了向应用服务的传出流量建立新的RRC连接（2）RRC CONNECTED状态，攻击者建立虚假的RRC连接后，已存在的RRC连接会被断开，但没有通知受害者UE，UE与基站通信失败，进入Radio Link Failure状态，发送RRC Connection reestablishment request消息，但服务基站拒绝该消息因为对基站来说该连接已经断开了，收到拒绝消息后UE发起NAS TAU进程发送NAS Service request消息重新建立连接，在这些过程中UE都是与基站断开RRC连接的，重建连接需要0.5秒，如果攻击者每0.5秒建立一次虚假的RRC连接，受害者将一直储在断开连接状态。

利用MME攻击

1. 远程注销攻击
   运营商MME有一些实现缺陷，可能导致它们不必要地注销受害者UE而不用通知。
   攻击模型：攻击者可以向受害者UE注册的MME发送NAS消息。攻击者知道受害者UE的S-TMSI，对利用了消息重放的攻击，攻击者要在攻击前抓取通信消息，两种方法获得受害者UE的控制面消息（1）攻击者运营一个流氓LTE网络抓取受害者UE的控制面消息同时在网络和UE之间重放消息（2）攻击者可以在受害者UE上下载有控制面消息记录功能的恶意APP。
   攻击过程：攻击者先装作受害者UE建立RRC连接，发送精心构造的初始明文请求、无效的安全保护消息或重放消息，MME处理从攻击者收到的消息，注销受害者UE的连接而不进行通知。
   攻击实现：使用srsLTE实现攻击者，在虚假的RRC连接建立后立即发送有缺陷的NAS消息。
   验证：利用无效的明文消息、安全保护消息或重放消息发起攻击，攻击者可以通过接入任意可以与为受害者UE服务的MME进行通信的基站发起攻击。基站可能与任意MME通信而不考虑地理区域。因此，攻击者只要获取了有效的GUTI就可以远程注销任意用户。一个例子是，MME接收重放的NAS PDU disconnect request消息，攻击者可以选择性地拒绝用户服务。
2. SMS钓鱼攻击
   攻击模型：攻击者欺骗消息发送发使用UE2的电话号码，向UE1发送SMS消息。攻击者知道UE2的S-TMSI和UE1的电话号码，假设目标LTE网络在NAS层提供SMS。
   攻击过程：攻击者使用UE2的-S-TMSI建立一个虚假的RRC连接，建立SMS上下文并包括在NAS上行传输中，在RRC连接建立后攻击者立即向 MME发送生成的NAS上行传输，收到消息后MME将被操纵的SMS消息发送给UE1。
   攻击实现：修改srsLTE实现此攻击，增加了NAS层的支持SMS功能。
   验证：因为MME1不验证上行NAS传输消息的序列号，而MME2接收所有的无效消息，我们成功地对运营商进行了此攻击。

利用UE攻击：AKA绕过攻击

攻击模型：攻击者与受害者UE足够近，可以触发从基站到流氓LTE网络的切换。流氓LTE网络使用比商用基站更高的传输功率，攻击者知道Tracking Areas表可以将流氓网络伪装成商用网络。两种途径获取有效的TA Code（1）攻击者与受害者订购了相同的运营商，则可以通过检查诸如Attach Accept之类的控制平面消息来获得TA列表（2）攻击者只有一个流氓LTE网络，首先随机选择一个TA，一旦目标UE接入流氓LTE网络就发送TAU request，因为网络的TA不在它的TA列表里，收到消息后攻击者得到之前的TAC.
攻击过程：因为流氓基站的传输功率大于服务基站，处在RRC IDLE状态的受害者重同步到攻击者的基站，当UE发送向外的数据或从流氓LTE网络接收到Paging，则建立RRC连接并发送NAS Service request，一般基站收到消息后发起RRC Security mode进程重新生成加密密钥，流氓网络绕过这一进程立刻准备无线信道（也叫Data Radio Bearer）发送RRC Connection reconfiguration 明文，UE建立无线信道回复RRC Connection complete明文，最后UE在该信道与流氓LTE网络传送和接收未保护的用户数据而没有收到任何通知。
攻击实现：使用USRP B210作为无线电收发器，openLTE作为流氓LTE网络，网络不在RRC层协商安全算法，RRC Recconfiguration过程不经过安全保护。
验证：此攻击可以在多种智能手机上使用户数据的加密无效，因为流氓LTE网络将TAC配置为与受害者UE异样地TA列表，当UE与我们的基站第一次同步时不触发TAU request。有些模型机立在攻击中即初始化NAS TAU request，但如果流氓网络不回应UE发送的请求，受害者UE将发送NAS Service request消息重新连接，因此我们的攻击在这种情况依然有效。

对策

• 利用基站的攻击。对BTS资源耗尽攻击，降低“不活动计时器”的值，可以通过降低虚假RRC连接的数量削弱此攻击的影响，但如果太小UE可能频繁发起RRC连接提高了信令负载。对盲目DoS攻击，可以在收到多个使用同一S-TMSI的RRC Connection request时重新分配S-TMSI，根据3GPP标准MME可以通过两种方法触发S-TMSI重分配，直接发送安全保护的NAS FUTI reallocation command消息（不能阻止该攻击，因为UE无法在被攻击时收到此消息）和广播携带IMSI的Paging（UE可以接收该消息，并初始化Attach进程）。
• 利用MME和UE的攻击。远程注销攻击和SMS钓鱼攻击根植于运营商MME的实现，因此要严格遵守3GPP标准正确实现MME。AKA绕过攻击根植于UE不能正确处理强制安全进程，因此UE在成功完成强制安全进程之前不应该执行任何哦那个控制面进程。

下一步工作

LTEFuzz可以发现运营商和设备提供商的设计和实现方面的漏洞，以及基带芯片组的漏洞，包括Qualcomm和HiSilicon公司的芯片组。我们计划将此工具透露给运营商和设备制造商，与更多厂商合作，并运用在其他协议如S1AP、X2AP，我们需要接入核心网来研究这些协议。对5G-NSA进行后续研究。