前段时间,雷锋网报道了来自中国的美女黑客张婉桥破解了LTE网络,可监听手机通信数据。
-11-10 09:16 上传
下载附件 (196.22 KB)
就在前几天,举办于澳大利亚墨尔本的Ruxcon黑客大会上,这位来自奇虎360独角兽团队的中国美女黑客再次向全世界展示了如何利用伪基站攻击4G网络。
刚好小编有幸搞到了这位美女黑客的演讲PPT。所以,大家一起探讨一下美女黑客到底是怎样攻击LTE网络的?
按本人粗鄙的理解,该文提出了三大攻击方式:
●捕获IMSI
首先架设4G伪基站(网络),诱导目标手机进行路由区更新(TAU),获取目标手机IMSI。
●DoS攻击
骗取目标手机进入4G伪基站(网络)后,对其发起DoS(拒绝服务攻击)攻击,告诉目标手机是非法手机,或网络不可用,手机自动进入省电模式,服务瘫痪。
●重定向攻击
通过4G伪基站(网络)发出重定向指令,迫使目标手机重定向到2G伪基站中。一旦目标手机落入2G伪基站中,就可以通过中间人的攻击方式来监听手机通话与短信了。
这是“作案”工具...
左边是GSM伪基站,右边是LTE伪网络
这是“作案”现场...
具体解释一下:
1)捕获IMSI
4G伪基站(网络)的TAC与现网不同,目的就是诱导目标手机进行路由区更新。当目标手机进入4G伪基站(网络)覆盖范围时,空闲态时或者连接态时由于伪基站干扰断线后,会发生重选,紧接着,发现TAC改变(4G伪基站的),便会发起以路由区更新(TAU)为目的的RRC连接建立过程。
在这个过程中,有一个鉴权和加密保护过程(7. Authentication / Security)。
需重点说明的是,4G网络采用双向鉴权,基站和手机都要验证对方身份,一旦相互认证成功,双方就进入加密通信模式。所以,4G伪基站是万万不会进行双向鉴权认证和NAS安全模式的,否则就是找死,会被UE所识破,同时,涉及到很多密钥的产生、双向鉴权等复杂的运算,实际上也不可能完成。
所以,对目标手机的攻击必须要在鉴权完成之前(Authentication request这一步)实行。
接下来,看看4G伪基站(网络)是如何获取目标手机的IMSI的呢?
4G伪基站(网络)在TAU跟踪区更新过程中,直接TAU拒绝。
然后,惨遭蹂躏后的目标手机,不得不发起Attach Request,并将IMSI发送给4G伪网络。
不过,在此处,小编有点迷惑,因为只有当手机刚开机第一次attach时,才使用IMSI。难道需要用户重启手机或者国际漫游时才可以?学艺不精,留给大家留言解释。
2)DoS攻击
这种攻击方式比较粗暴简单,就是直接拒绝手机接入。
如上图中所示,对于目标手机的Attach Request拒绝理由是:Cause#3,7,8,14。
查了一下EMM Cause value:
Cause#3:illegal UE
Cause#7:EPS service not allowed
Cause#8:EPS service not allowed and non-EPS service not allowed
Cause#14:EPS service not allowed in this PLMN
总之,就是你人长得丑,大爷我不提供服务,不让你通话。
3)重定向攻击
这应该是整个剧情的高潮部分。
当Attach Request被拒绝后,4G伪基站向目标手机发送RRC Connection Release消息,且插入RedirectedCarrierInfo字符。
RedirectedCarrierInfo,可能很多通信人都比较熟悉,这是触发LTE异系统重定向请求。
而黑客在编码时,直接将UE重定向了2G伪基站。
这样,目标手机就被迫从4G网络转移到黑客预先设计好的2G伪基站里,窃取通话信息和短信。
美女黑客也在PPT中提到,关于这种“强制切换”攻击,3GPP在TSG RAN /SA工作组会议上已讨论过。
对于RRC完整性保护和加密问题,3GPP的决定是:
1)RRC完整性保护和加密过程只能在Attach过程中出现一次,后续不能去激活。
2)RRC完整性保护和加密只能在eNodeB切换情况下改变。
对于这个决定,3GPP给出的解释是:为了避免在地震或重大事件发生时,太多用户接入一个基站导致负荷过大,为了保证网络负荷平衡,需要将一些手机用户重定向到附近较空闲基站。
之所以通过RedirectedCarrierInfo字符指定重定向,是为了避免手机盲目的,不断搜寻附近基站,而导致网络信令负荷增加。
文中最后总结到:全球漫游、手机在没有基站服务的情况下自动进入省电模式和网络负荷均衡,使得IMSI捕获、DoS攻击和重定向攻击成为可能。
另外,还给出了一些对策,比如建议手机不接受重定向指示(自动搜索附近基站)、在重定向时向用户提示、修复GSM的安全性、拒绝单向鉴权等,3GPP一直在努力。
