Риск в сигнализации Verizon VoLTE: что показал VU#615987

CERT/CC сообщает об отсутствии IPsec-защиты целостности в части VoLTE-сигнализации Verizon. Что это означает на практике и что стоит проверить.

2026-06-03 GIGATAP Team #security
#security advisory#VoLTE#Verizon

Источник: CERT/CC Vulnerability Notes, https://kb.cert.org/vuls/id/615987

Проблема с сигнализацией VoLTE в сети Verizon — не просто спор о трактовке стандартов. В уведомлении CERT/CC VU#615987 говорится, что в развертываниях Verizon IMS исторически отсутствовала защита целостности SIP-сигнализации на базе IPsec. В результате сообщения регистрации и последующая сигнализация не получали криптографических гарантий подлинности и неизменности.

Практический вывод уже, чем может показаться по заголовкам, и при этом полезнее: не стоит считать сигнализацию Verizon VoLTE каналом с высоким уровнем доверия, пока не подтверждено применение IPsec на уровне сети либо Verizon не сообщит о его работе в промышленной эксплуатации. Изменения в конфигурации устройства могут указывать на движение в этом направлении, но сами по себе не доказывают наличие сквозной защиты.

Что изменилось#

2 июня 2026 года CERT/CC опубликовал уведомление VU#615987. В документе описано отсутствие защиты целостности IMS SIP-сигнализации через IPsec в развертываниях Verizon VoLTE.

Согласно материалам исследования, специалисты в течение нескольких недель или месяцев наблюдали реальный трафик и стабильно не обнаруживали ни SIP Security Agreement headers, ни трафик ESP. Это важно, поскольку защита сигнализации IMS/VoLTE должна согласовываться во время SIP-регистрации, а затем использоваться через IPsec ESP для последующих сигнальных сообщений.

В отчете отсутствие защиты представлено как системная особенность, а не временная проблема конкретного устройства или сегмента сети. Одинаковая картина наблюдалась на разных моделях устройств и в различных сетевых условиях. Это не доказывает автоматически, что каждая сессия Verizon VoLTE подвержена одинаковому риску, однако делает выводы исследования гораздо менее похожими на артефакт единичного захвата трафика.

В заявлении Verizon от 11 мая 2026 года утверждалось, что упомянутые положения GSMA и 3GPP, вероятно, не являются обязательными, а операторы вправе самостоятельно решать, использовать ли соответствующие протоколы. CERT/CC также отмечает, что автор сообщения о проблеме не согласился с такой трактовкой и сослался на положения 3GPP TS 33.203 и GSMA IR.92, которые, по его мнению, требуют обязательной защиты IMS/VoLTE SIP-сигнализации.

Появился и более свежий сигнал. Исследователи обнаружили связанные с IMS IPsec записи в carrier bundle Apple iOS 26.5, выпущенном 11 мая 2026 года. Это может означать, что поддержка на стороне устройства уже появилась или готовится к включению. Однако источник специально подчеркивает осторожность в интерпретации таких данных. Наличие записи в carrier bundle не означает, что защита уже принудительно применяется в рабочей сети.

Почему это предупреждение важно#

Риск связан с целостностью сигнализации. Если SIP-сообщения передаются без криптографической проверки подлинности и неизменности, атакующий, находящийся на пути передачи данных, потенциально может просматривать, изменять, повторно воспроизводить или внедрять SIP-сообщения так, что конечные стороны не заметят вмешательства.

CERT/CC перечисляет возможные последствия: перехват управления вызовами, подмена SMS-over-IMS, отказ в обслуживании через поддельные SIP-сообщения и манипуляции с маршрутизацией экстренных вызовов. Для таких сценариев не требуется взлом телефона пользователя, SIM-карты или внутренних систем Verizon. Ключевое условие — присутствие атакующего на соответствующем участке сети, например через скомпрометированную базовую станцию, femtocell или промежуточный IMS-узел.

Для специалистов по безопасности это важное различие. Речь не идет о типичном риске конфиденциальности на уровне приложений, где достаточно изменить настройку или использовать более надежный пароль. Проблема находится глубже пользовательского интерфейса — внутри архитектуры операторской сигнализации. Существенное снижение риска возможно только при принудительном применении защиты целостности со стороны оператора.

Для организаций вывод прост: не следует автоматически считать сигнализацию VoLTE доверенным каналом для процессов, требующих высокой уверенности. Голосовые вызовы и SMS-over-IMS могут работать штатно, даже если сигнальный слой не обладает свойствами целостности, которые команда безопасности предполагает по умолчанию.

Что проверить#

Наиболее убедительным признаком устранения проблемы станет обнаружение ESP-трафика после SIP-регистрации и подтвержденное использование соответствующих SIP Security Agreement headers. Существенно изменит оценку риска и официальное заявление Verizon о том, что защита целостности через IPsec действительно включена в промышленной эксплуатации.

Операторам и специалистам по безопасности стоит разделять три разных факта:

  • Поддержка устройства: телефон или carrier bundle могут содержать настройки IMS IPsec.
  • Доступность функции в сети: оператор может поддерживать ее только для части пользователей или отдельных сценариев.
  • Принудительное применение в сети: реальные производственные сессии действительно согласовывают и используют защищенный ESP-трафик.

Только третий пункт снижает риск, описанный в уведомлении CERT/CC.

Обычным пользователям источник не предлагает понятного исправления на стороне клиента. Поддерживать устройства в актуальном состоянии по-прежнему разумно, особенно если изменения затрагивают carrier bundle, однако сами обновления нельзя считать доказательством того, что сеть IMS Verizon уже применяет защиту целостности через IPsec.

Организациям стоит сосредоточиться прежде всего на политике безопасности. Не используйте операторскую голосовую связь или SMS-сигнализацию как сильный механизм аутентификации либо критически важный элемент безопасности, если доступны более надежные каналы. Там, где требуется уверенность в мобильной инфраструктуре, запрашивайте у операторов прямые доказательства защиты целостности IMS SIP-сигнализации, а не ограничивайтесь общими заявлениями о надежности сети.

Дополнительные материалы GigaTap: OpenSSF’s April signal: make security artifacts operational; 100% package test coverage is the point, not the slogan; Open Source Security Needs More Than Code.

Чего не стоит утверждать#

Это уведомление не доказывает, что все пользователи подвергались активным атакам. Оно не подтверждает существование публичной кампании эксплуатации. Также в нем нет доказательств того, что изменения в carrier bundle iOS 26.5 уже устранили проблему в рабочей сети.

Материалы источника позволяют сделать более точный и обоснованный вывод: в наблюдаемой сигнализации Verizon VoLTE отсутствовала ожидаемая защита целостности через IPsec, и до тех пор, пока принудительное применение этой защиты на уровне сети не подтверждено, риск для незащищенных развертываний остается реальным.

Спор о требованиях стандартов также остается открытым. Verizon охарактеризовала соответствующие положения как необязательные. Автор сообщения о проблеме не согласился с этим и сослался на разделы 3GPP и GSMA, которые, по его мнению, требуют обязательной защиты IMS/VoLTE-сигнализации. Для понимания сути риска необязательно разбираться в юридических или сертификационных деталях. Если защита целостности отсутствует, SIP-сигнализация может изменяться на пути передачи без той модели защиты, которую пользователи и операторы вправе ожидать.

Поэтому наиболее разумный подход — сохранять осторожность без преувеличений. Рассматривайте ситуацию как реальное предупреждение о рисках, связанных с предположениями относительно операторской сигнализации. Не превращайте его в доказательство массовой эксплуатации. Но и не сводите проблему к формальностям только потому, что поверхность атаки не видна обычным пользователям. Сейчас главный практический вопрос — присутствуют ли после заявленных изменений переговоры по защите SIP и используется ли ESP-трафик в реальных сессиях Verizon VoLTE.