ad9_210*60
關鍵詞:
台灣網  >  經貿  >   通訊

美女駭客攻擊4G LTE 手機數據隨意看

2016年08月09日 13:39:29  來源:未來網
字號:    

  世界上最悲慘的事情之一,

  莫過於你的女朋友是一名駭客。

  因為你永遠不知道,

  她究竟有什麼手段來監控你。

  就在今天,一位來自中國的美女駭客向世界證明了:她有辦法監聽到指定手機的所有通訊數據。

  360 獨角獸團隊張婉橋

  這名美女駭客名叫張婉橋,來自360 獨角獸團隊。她在國際頂級駭客會議DEF CON 上分享了這個“悲傷”的研究。和他一起公佈這個成果的駭客,是同樣來自360獨角獸團隊的單好奇。(單好奇曾為向女友表忠心而在她電腦上安裝了一個監控自己的木馬,也許這就是張婉橋拉他一起研究這個技術的原因吧。。。囧)

  單好奇(左)和張婉橋在DEF CON 做演講

  謊言、欺騙、4G偽基站

  張婉橋告訴雷鋒網,為了截獲手機上的資訊,要做的一切就是用“一套謊言”來欺騙目標手機。這套謊言來自披著羊皮的狼:偽基站。

  你可能聽説過偽基站這種邪惡的東東,它主要被黑産用於收發垃圾短信,釣魚資訊。不過,你所熟知的偽基站大多采用如下的技術手段:

  1、用高強度的干擾信號遮罩掉一個區域內所有的3G、4G 手機信號。

  2、大多數手機在無法連接3G、4G 信號時,會選擇自動尋找2G 信號。此時手機自然被引向了偽基站的2G 信號,然後不知不覺接收了詐騙資訊。

  之所以黑産將信號壓制在2G 之內,而不直接攻擊3G 和4G 信號,是因為這些通信方式採用了更為嚴密的安全模式。但是,這種暴力遮罩信號的模式,往往會造成大面積正在通信的手機信號中斷,人們會察覺到信號異常而試圖離開偽基站區域。

  4G 偽基站

  而我們的美女駭客,選擇直接對4G LTE 信號下手。她説:

  由於4G LTE 信號採用雙向鑒權,意思是基站要驗證手機的身份,而手機也要驗證基站的身份。一旦相互認證成功,雙方就進入加密通信模式,這個時候就很難再進行攻擊了。所以我的攻擊必須要在鑒權完成之前實行

  雙向鑒權的過程,成為了張婉橋黑掉手機網路為數不多的好機會。在演講中,她和單好奇詳細解釋了攻擊的三個步驟:

  1、騙到手機號碼的“身份證”

  IMSI,這個聽起來並不性感的單詞對於手機來説非常重要,它是手機號碼在運營商伺服器上的唯一識別碼。也就是説,你看到的是自己的手機號,而在運營商的數據庫裏,你的手機號對應一個IMSI 碼。這就像手機的“身份證”,所有的通信操作都基於對這個身份證的認證。

  手機號的“身份證”IMSI 的捕獲方法

  對於一個架設偽基站的攻擊者來説,搞到接入手機的身份證,才能進行下一步的攻擊。但是,IMSI 對手機來説就像是內褲:“每個人都有,但不能隨便給人看。”

  張婉橋告訴雷鋒網:

  一般來説,為了安全起見,手機從一個基站切換到另一個基站的時候,會給對方一個TMSI碼,這個碼是臨時的,有效期比較短。而一般只有當手機第一次搜索信號--例如關機重啟--時,才會給基站出示永久的IMSI 碼。

  這就造成了一個棘手的問題:在黑別人手機的時候,一般是不能衝上去幫別人重啟手機的。

  為了搞到被攻擊收集的IMSI 碼,她需要製造一個4G 偽基站。4G 偽基站沒有辦法直接和手機取得通信,因為它的身份無法通過手機的校驗。不過在手機校驗基站之前,基站可以先給手機一個下馬威:

  在手機給偽基站出示“TMSI”碼之後,偽基站可以給手機發送資訊,表示我還是沒辦法判斷你的身份。而根據通信協議,這個時候手機必須出示它的IMSI碼。

  通俗來講,就是一個假保安站在大門口,無論如何不讓來訪者進去,除非他出示自己的身份證。用這種方式,偽基站終於“騙”到了手機號碼的“身份證”。

  2、演戲的假保安

  在搞到手機號碼的身份證之後,這個“假保安”(偽基站)還不善罷干休。他會告訴手機:大廈裏已經滿員了,不能再允許你進入了。

  而這個時候,手機仍然沒有機會識破對方“假保安”的身份,於是誤以為真的是網路滿載。

  因為偽基站的信號強度非常大,掩蓋了真實的信號。所以這個時候對於手機來説,沒有其他可用的網路。為了節省電量,手機會進入一種關閉信號的狀態,直到你下一次重啟手機。

  這時,懵逼的手機往往會長時間處於無信號狀態,直到機主注意到並且手動重啟。這就造成了一種“拒絕服務攻擊”(DoS)。

  相信你也想到了,身份沒有敗露的保安完全可以做進一步的壞事。

  3、落入陷阱

  張婉橋告訴雷鋒網,在4G LTE 的通訊協議中,有一個奇葩的規定:

  當一個基站認為自己負載過大時,可以引導前來訪問的手機到指定的基站。於是我們可以用4G 偽基站把手機引導向一個2G 的偽基站。

  回到保安的例子。這就相當於假保安告訴來訪者,在大樓旁邊還有一座小樓,你在那裏也可以辦理你的業務。

  沒錯,那一座小樓,根本就是駭客搭建出來的虛假環境--2G 偽基站。

  於是,經過這麼一大圈,可憐的手機終於又落到了2G 偽基站的魔爪。由於在2G 網路中,手機無權判斷基站的真偽,所以會毫無保留地把資訊交給偽基站。而偽基站甚至可以作為“中間人”把通訊資訊完整地交給真基站。在用戶看來,自己的通訊沒有什麼問題,但是實際情況是,他所有的通信內容都被這個“中間人”所竊聽了。

  3GPP 歷年指定的通訊協議

  奇葩的規定從何而來?

  也許你會問,為什麼手機必須遵循基站的命令跳轉到指定的新基站呢?

  張婉橋説,這個缺陷從某種程度上説並不是一個漏洞。因為早在2005年,4G 協議的制定機構3GPP 內部的專家就已經意識到這個規則在理論上可能會導致攻擊。但是協議並沒有對這個規則做封堵。

  因為在地震或火災這種緊急情況發生時,很可能會發生所有手機都同時連接同一個基站的情況。這就會造成基站過載而崩潰。手機是很“傻”的,往往只會搜索附近信號最強的那個基站,這個時候,就需要手機服從命令,聽從基站的調遣連接到指定的另一個基站。

  而在通信協議沒有更改的情況下,所有的手機都處在被如此攻擊的可能性之中。

  善良的駭客

  對於張婉橋來説,她對於監控男友通訊記錄神馬的完全沒有興趣。確切地説,作為一名白帽子駭客,她有著嚴格的底線和價值觀。

  她對於破解4G LTE 技術的研究,是為了尋找到一個保護手機網路的方法,避免這種攻擊被真正的壞人利用。

  目前看來,在不修改國際通用4G LTE 協議的情況下,很難完全避免這種攻擊,唯一能在這方面做出改進的,就是手機生産廠商。例如:

  1、由於攻擊最終會轉到2G 偽基站進行,而2G 偽基站有一些自己的特性,如果在手機中加入一些識別條件,就可以識別出大多數的偽基站,這時就可以對用戶進行提醒,或者乾脆拒絕連接。

  2、對於4G 偽基站的拒絕服務攻擊,可以讓手機在這種狀態下每半小時,甚至更短時間自動重連一次網路,就不會造成長時間斷網的情況。

  張婉橋對雷鋒網説,有關4G LTE 的破解研究很多底層的邏輯構建都,其實主要得益於獨角獸團隊的無線通信專家黃琳。這兩個建議已經被團隊提交給自家的奇酷手機,相應的解決規則應該正在編寫中。

  雖然在現實生活中,並沒有證據表明這類攻擊已經發生。但是張婉橋和單好奇的研究告訴人們,4G網路的安全並非兒戲。這種攻擊難以察覺而殺傷力巨大。當這種攻擊真的開始大規模發生,人們所付出的代價,將是難以估量的。

  P.S. 張婉橋特別鳴謝:隊友單好奇、獨角獸團隊通信大牛黃琳、獨角獸團隊首席駭客楊卿。研究成果為團隊協力完成。

  附,張婉橋演講結束之後被宅男“圍攻”的場景

[責任編輯:李帥]

特別推薦
點擊排名
聚焦策劃