世界上最悲慘的事情之一�����,
莫過於你的女朋友是一名駭客����。
因?yàn)槟阌肋h(yuǎn)不知道�����,
她究竟有什麼手段來監(jiān)控你�。
就在今天,一位來自中國(guó)的美女駭客向世界證明了:她有辦法監(jiān)聽到指定手機(jī)的所有通訊數(shù)據(jù)��。
360 獨(dú)角獸團(tuán)隊(duì)張婉橋
這名美女駭客名叫張婉橋��,來自360 獨(dú)角獸團(tuán)隊(duì)��。她在國(guó)際頂級(jí)駭客會(huì)議DEF CON 上分享了這個(gè)“悲傷”的研究。和他一起公佈這個(gè)成果的駭客�����,是同樣來自360獨(dú)角獸團(tuán)隊(duì)的單好奇。(單好奇曾為向女友表忠心而在她電腦上安裝了一個(gè)監(jiān)控自己的木馬,也許這就是張婉橋拉他一起研究這個(gè)技術(shù)的原因吧���。。。囧)
單好奇(左)和張婉橋在DEF CON 做演講
謊言�����、欺騙���、4G偽基站
張婉橋告訴雷鋒網(wǎng)�����,為了截獲手機(jī)上的資訊����,要做的一切就是用“一套謊言”來欺騙目標(biāo)手機(jī)。這套謊言來自披著羊皮的狼:偽基站��。
你可能聽説過偽基站這種邪惡的東東,它主要被黑産用於收發(fā)垃圾短信���,釣魚資訊���。不過,你所熟知的偽基站大多采用如下的技術(shù)手段:
1�����、用高強(qiáng)度的干擾信號(hào)遮罩掉一個(gè)區(qū)域內(nèi)所有的3G���、4G 手機(jī)信號(hào)����。
2�、大多數(shù)手機(jī)在無法連接3G、4G 信號(hào)時(shí)���,會(huì)選擇自動(dòng)尋找2G 信號(hào)���。此時(shí)手機(jī)自然被引向了偽基站的2G 信號(hào),然後不知不覺接收了詐騙資訊�。
之所以黑産將信號(hào)壓制在2G 之內(nèi),而不直接攻擊3G 和4G 信號(hào),是因?yàn)檫@些通信方式採(cǎi)用了更為嚴(yán)密的安全模式���。但是�,這種暴力遮罩信號(hào)的模式���,往往會(huì)造成大面積正在通信的手機(jī)信號(hào)中斷��,人們會(huì)察覺到信號(hào)異常而試圖離開偽基站區(qū)域�����。
4G 偽基站
而我們的美女駭客���,選擇直接對(duì)4G LTE 信號(hào)下手。她説:
由於4G LTE 信號(hào)採(cǎi)用雙向鑒權(quán)���,意思是基站要驗(yàn)證手機(jī)的身份,而手機(jī)也要驗(yàn)證基站的身份�����。一旦相互認(rèn)證成功��,雙方就進(jìn)入加密通信模式,這個(gè)時(shí)候就很難再進(jìn)行攻擊了��。所以我的攻擊必須要在鑒權(quán)完成之前實(shí)行
雙向鑒權(quán)的過程���,成為了張婉橋黑掉手機(jī)網(wǎng)路為數(shù)不多的好機(jī)會(huì)���。在演講中,她和單好奇詳細(xì)解釋了攻擊的三個(gè)步驟:
1����、騙到手機(jī)號(hào)碼的“身份證”
IMSI,這個(gè)聽起來並不性感的單詞對(duì)於手機(jī)來説非常重要�,它是手機(jī)號(hào)碼在運(yùn)營(yíng)商伺服器上的唯一識(shí)別碼。也就是説����,你看到的是自己的手機(jī)號(hào),而在運(yùn)營(yíng)商的數(shù)據(jù)庫(kù)裏��,你的手機(jī)號(hào)對(duì)應(yīng)一個(gè)IMSI 碼�����。這就像手機(jī)的“身份證”��,所有的通信操作都基於對(duì)這個(gè)身份證的認(rèn)證。
手機(jī)號(hào)的“身份證”IMSI 的捕獲方法
對(duì)於一個(gè)架設(shè)偽基站的攻擊者來説�,搞到接入手機(jī)的身份證,才能進(jìn)行下一步的攻擊���。但是���,IMSI 對(duì)手機(jī)來説就像是內(nèi)褲:“每個(gè)人都有,但不能隨便給人看��?��!?/p>
張婉橋告訴雷鋒網(wǎng):
一般來説���,為了安全起見,手機(jī)從一個(gè)基站切換到另一個(gè)基站的時(shí)候�����,會(huì)給對(duì)方一個(gè)TMSI碼����,這個(gè)碼是臨時(shí)的��,有效期比較短。而一般只有當(dāng)手機(jī)第一次搜索信號(hào)--例如關(guān)機(jī)重啟--時(shí)�����,才會(huì)給基站出示永久的IMSI 碼�����。
這就造成了一個(gè)棘手的問題:在黑別人手機(jī)的時(shí)候���,一般是不能衝上去幫別人重啟手機(jī)的��。
為了搞到被攻擊收集的IMSI 碼�,她需要製造一個(gè)4G 偽基站����。4G 偽基站沒有辦法直接和手機(jī)取得通信,因?yàn)樗纳矸轃o法通過手機(jī)的校驗(yàn)��。不過在手機(jī)校驗(yàn)基站之前��,基站可以先給手機(jī)一個(gè)下馬威:
在手機(jī)給偽基站出示“TMSI”碼之後�,偽基站可以給手機(jī)發(fā)送資訊,表示我還是沒辦法判斷你的身份�����。而根據(jù)通信協(xié)議,這個(gè)時(shí)候手機(jī)必須出示它的IMSI碼�。
通俗來講,就是一個(gè)假保安站在大門口���,無論如何不讓來訪者進(jìn)去�,除非他出示自己的身份證��。用這種方式�����,偽基站終於“騙”到了手機(jī)號(hào)碼的“身份證”�。
2、演戲的假保安
在搞到手機(jī)號(hào)碼的身份證之後����,這個(gè)“假保安”(偽基站)還不善罷干休。他會(huì)告訴手機(jī):大廈裏已經(jīng)滿員了�����,不能再允許你進(jìn)入了��。
而這個(gè)時(shí)候����,手機(jī)仍然沒有機(jī)會(huì)識(shí)破對(duì)方“假保安”的身份,於是誤以為真的是網(wǎng)路滿載�����。
因?yàn)閭位镜男盘?hào)強(qiáng)度非常大���,掩蓋了真實(shí)的信號(hào)����。所以這個(gè)時(shí)候?qū)妒謾C(jī)來説����,沒有其他可用的網(wǎng)路。為了節(jié)省電量���,手機(jī)會(huì)進(jìn)入一種關(guān)閉信號(hào)的狀態(tài)���,直到你下一次重啟手機(jī)。
這時(shí)����,懵逼的手機(jī)往往會(huì)長(zhǎng)時(shí)間處?kù)稛o信號(hào)狀態(tài)��,直到機(jī)主注意到並且手動(dòng)重啟���。這就造成了一種“拒絕服務(wù)攻擊”(DoS)。
相信你也想到了����,身份沒有敗露的保安完全可以做進(jìn)一步的壞事。
3��、落入陷阱
張婉橋告訴雷鋒網(wǎng)��,在4G LTE 的通訊協(xié)議中��,有一個(gè)奇葩的規(guī)定:
當(dāng)一個(gè)基站認(rèn)為自己負(fù)載過大時(shí)���,可以引導(dǎo)前來訪問的手機(jī)到指定的基站�。於是我們可以用4G 偽基站把手機(jī)引導(dǎo)向一個(gè)2G 的偽基站���。
回到保安的例子���。這就相當(dāng)於假保安告訴來訪者��,在大樓旁邊還有一座小樓��,你在那裏也可以辦理你的業(yè)務(wù)�����。
沒錯(cuò),那一座小樓����,根本就是駭客搭建出來的虛假環(huán)境--2G 偽基站。
於是��,經(jīng)過這麼一大圈��,可憐的手機(jī)終於又落到了2G 偽基站的魔爪�����。由於在2G 網(wǎng)路中���,手機(jī)無權(quán)判斷基站的真?zhèn)?��,所以?huì)毫無保留地把資訊交給偽基站���。而偽基站甚至可以作為“中間人”把通訊資訊完整地交給真基站。在用戶看來���,自己的通訊沒有什麼問題���,但是實(shí)際情況是,他所有的通信內(nèi)容都被這個(gè)“中間人”所竊聽了���。
3GPP 歷年指定的通訊協(xié)議
奇葩的規(guī)定從何而來?
也許你會(huì)問���,為什麼手機(jī)必須遵循基站的命令跳轉(zhuǎn)到指定的新基站呢?
張婉橋説,這個(gè)缺陷從某種程度上説並不是一個(gè)漏洞�。因?yàn)樵缭?005年,4G 協(xié)議的制定機(jī)構(gòu)3GPP 內(nèi)部的專家就已經(jīng)意識(shí)到這個(gè)規(guī)則在理論上可能會(huì)導(dǎo)致攻擊�����。但是協(xié)議並沒有對(duì)這個(gè)規(guī)則做封堵��。
因?yàn)樵诘卣鸹蚧馂?zāi)這種緊急情況發(fā)生時(shí)�,很可能會(huì)發(fā)生所有手機(jī)都同時(shí)連接同一個(gè)基站的情況����。這就會(huì)造成基站過載而崩潰�。手機(jī)是很“傻”的,往往只會(huì)搜索附近信號(hào)最強(qiáng)的那個(gè)基站���,這個(gè)時(shí)候����,就需要手機(jī)服從命令����,聽從基站的調(diào)遣連接到指定的另一個(gè)基站�����。
而在通信協(xié)議沒有更改的情況下�����,所有的手機(jī)都處在被如此攻擊的可能性之中�。
善良的駭客
對(duì)於張婉橋來説,她對(duì)於監(jiān)控男友通訊記錄神馬的完全沒有興趣����。確切地説�����,作為一名白帽子駭客�,她有著嚴(yán)格的底線和價(jià)值觀�����。
她對(duì)於破解4G LTE 技術(shù)的研究����,是為了尋找到一個(gè)保護(hù)手機(jī)網(wǎng)路的方法,避免這種攻擊被真正的壞人利用�����。
目前看來�,在不修改國(guó)際通用4G LTE 協(xié)議的情況下,很難完全避免這種攻擊�����,唯一能在這方面做出改進(jìn)的���,就是手機(jī)生産廠商����。例如:
1、由於攻擊最終會(huì)轉(zhuǎn)到2G 偽基站進(jìn)行�����,而2G 偽基站有一些自己的特性��,如果在手機(jī)中加入一些識(shí)別條件����,就可以識(shí)別出大多數(shù)的偽基站,這時(shí)就可以對(duì)用戶進(jìn)行提醒��,或者乾脆拒絕連接�����。
2�、對(duì)於4G 偽基站的拒絕服務(wù)攻擊�����,可以讓手機(jī)在這種狀態(tài)下每半小時(shí),甚至更短時(shí)間自動(dòng)重連一次網(wǎng)路���,就不會(huì)造成長(zhǎng)時(shí)間斷網(wǎng)的情況��。
張婉橋?qū)卒h網(wǎng)説�,有關(guān)4G LTE 的破解研究很多底層的邏輯構(gòu)建都�����,其實(shí)主要得益於獨(dú)角獸團(tuán)隊(duì)的無線通信專家黃琳�����。這兩個(gè)建議已經(jīng)被團(tuán)隊(duì)提交給自家的奇酷手機(jī)���,相應(yīng)的解決規(guī)則應(yīng)該正在編寫中���。
雖然在現(xiàn)實(shí)生活中,並沒有證據(jù)表明這類攻擊已經(jīng)發(fā)生���。但是張婉橋和單好奇的研究告訴人們��,4G網(wǎng)路的安全並非兒戲����。這種攻擊難以察覺而殺傷力巨大。當(dāng)這種攻擊真的開始大規(guī)模發(fā)生����,人們所付出的代價(jià),將是難以估量的���。
P.S. 張婉橋特別鳴謝:隊(duì)友單好奇���、獨(dú)角獸團(tuán)隊(duì)通信大牛黃琳、獨(dú)角獸團(tuán)隊(duì)首席駭客楊卿�����。研究成果為團(tuán)隊(duì)協(xié)力完成��。
附����,張婉橋演講結(jié)束之後被宅男“圍攻”的場(chǎng)景
京ICP證130248號(hào)京公網(wǎng)安備110102003391