Countering SUCI-catcher : practical Implementation, evaluation and mitigation against SUCI replay attacks in 5G networks

Abstract

Die fünfte Generation von Mobilfunknetzen (5G) bringt gegenüber ihrem Vorgänger, Long Term Evolution (LTE), bedeutende Verbesserungen mit sich, insbesondere im Hinblick auf den Datenschutz von Netzwerkteilnehmern. Eine zentrale Neuerung ist die Einführung des Subscription Concealed Identifier (SUCI), welche die dauerhafte Teilnehmerkennung, den International Mobile Subscriber Identity (IMSI), durch Public-Key-Verschlüsselung schützt. Damit wird eine bekannte Schwachstelle früherer Mobilfunkgenerationen adressiert, bei der Angreifer mittels sogenannter IMSI-Catcher die im Klartext übermittelten IMSIs abfangen und zur Ortung und Identifikation von Nutzern verwenden konnten. Obwohl der SUCI den Datenschutz in Mobilfunknetzwerken erheblich verbessert, haben aktuelle Studien Schwachstellen in seiner praktischen Umsetzung aufgezeigt – insbesondere den sogenannten SUCI-Catcher-Angriff. Diese Arbeit untersucht bestehende Datenschutzlücken in 5G-Netzen mit besonderem Fokus auf den SUCI-Catcher-Angriff. In einer kontrollierten 5G-Testumgebung demonstrieren wir, wie ein Angreifer SUCI-Werte abfangen und das Authentifizierungsprotokoll 5G Authentication and Key Agreement (5G-AKA) ausnutzen kann, um Netzwerkteilnehmer zu deanonymisieren. Darüber hinaus analysieren wir von 3rd Generation Partnership Project (3GPP) vorgeschlagene Gegenmaßnahmen und zeigen deren Einschränkungen auf – insbesondere im Hinblick auf die Erkennung von SUCI-Replay-Angriffen.Als Reaktion auf diese Schwächen entwickeln und implementieren wir eine neuartige, netzwerkseitige Abwehrstrategie innerhalb eines Open-Source-5G Core Network (5GC). Unsere Lösung erkennt erfolgreich eine Variante des SUCI-Catcher-Angriffs, verursacht keine nennenswerten Leistungseinbußen, erfordert keine Änderungen auf der Client-Seite und bleibt vollständig kompatibel mit bestehenden 5G-Standards und -Infrastrukturen. Diese Arbeit leistet einen Beitrag zur Weiterentwicklung der 5G-Sicherheit, indem sie eine umfassende Analyse von Datenschutzrisiken für Netzwerkteilnehmer liefert und eine praxistaugliche, standardkonforme Gegenmaßnahme für einen Angriff vorstellt.

The fifth generation of mobile networks (5G) introduces substantial improvements over its predecessor, Long Term Evolution (LTE), particularly in the area of subscriber privacy. A key enhancement is the introduction of the Subscription Concealed Identifier (SUCI) mechanism, a privacy feature which protects the subscriber's permanent identifier, the International Mobile Subscriber Identity (IMSI), through public key encryption. This addresses a well-known vulnerability in previous network generations where attackers could easily track network subscribers by capturing IMSIs transmitted in plaintext using IMSI-Catchers. While the introduction of the SUCI significantly improves privacy, recent research has identified weaknesses in its implementation, including the emergence of the SUCI-Catcher attack. This thesis explores privacy vulnerabilities in 5G networks, with a particular focus on the SUCI-Catcher attack. Within a controlled 5G network environment, we demonstrate how an adversary can intercept SUCI values and exploit the 5G Authentication and Key Agreement (5G-AKA) to deanonymize subscribers. We also analyze mitigation approaches proposed by the 3rd Generation Partnership Project (3GPP), highlighting their limitations -- with respect to SUCI replay detection. To address these shortcomings, we propose and implement a novel, network-sided mitigation strategy within an open-source 5G Core Network (5GC). Our solution successfully detects a variant of the SUCI-Catcher attack without imposing significant performance overhead or requiring changes on the client side, while preserving full compatibility with existing 5G standards and infrastructure.This research contributes to the ongoing development of 5G security by providing an in-depth analysis of subscriber privacy risks and presenting a practical, non-intrusive countermeasure.