先简单说说原理:攻击者可通过架设 LTE 伪基站吸引目标 LTE 手机前来附着(Attach),在附着过程中通过 RRC 重定向信令将该手机重定向到攻击者预先架设的恶意网络,通常是 GSM 伪基站,然后攻击者用另一部手机作为攻击手机,以目4G偽基站購買,短信群發設備,伪基站购买,4g伪基站购买,短信群发设备,伪基站标手机的身份在运营商现网注册,从而在现网拥有目标手机的全部身份,能够以目标手机的身份接打电话、收发短信,这就是所谓 GSM 中间人攻击。这种攻击方法能够拦截掉发给目标手机的所有短信,因此可以攻破以短信验证码作为身份认证机制的任何网络服务,包括手机银行和手机支付系统。
需要说明的是,LTE RRC 重定向,不止可以对接 GSM 伪基站,还可以对接 CDMA 伪基站,以及破解过的 3G、4G Femto Cell,同样可以实现中间人攻击。即使对接 GSM,某些情况下也可以不架设伪基站,直接对接现网 GSM 基站,然后使用半主动式方式来拦截短信,不用中间人攻击也达到同样的短信拦截效果。
LTE 重定向+ GSM 中间人攻击的适用范围广,破坏性强。范围广,是通过LTE重定向攻击来实现的,因为LTE 伪基站覆盖范围内的 95% 以上的 LTE 手机会受影响。破坏性强,是通过中间人攻击这种形式,等于手机的电话短信的全部控制权在机主无法察觉的情况下转到了攻击者手里,不止可以拦截短信验证码,还可以组合出花样繁多的各种利用方法。
LTE重定向攻击的首次公开,是在今年5月出版的由 360 Unicorn Team 合著的新书《无线电安全攻防大揭秘》中简短提到,而在在国际上的第一次公开展示,是在 5 月底阿姆斯特丹的 HITB 上,由 360 Unicorn Team 的黄琳博士完成的。黄琳演示了一部中国联通的 iPhone 手机,被 LTE 伪基站重定向到 GSM 伪基站,验证了 LTE 重定向攻击的可能性。所以,我并不是第一个发现这个 LTE 可利用漏洞的人。
GSM 中间人攻击的历史更悠久,我既不是第一个发现的人,也不是第一个实现这种攻击方法的人。
GSM 中间人攻击在国内 2~3 年前就有黑产应用,最常见的就是号码采集系统,用来采集某位置附近的 GSM 手机号码,通过 GSM 伪基站+攻击手机劫持附近的 GSM 手机用户的身份去拨打一个特定电话号码,然后汇总该号码上的未接来电。这样在该位置附近经过的人的手机号码就不知不觉的4G偽基站購買,短信群發設備,伪基站购买,4g伪基站购买,短信群发设备,伪基站泄露了。还有的黑产在劫持手机用户身份后发短信订阅某些SP服务,因为有明显的费用产生,用户容易察觉到。更隐蔽的做法是用来刷单,拿到手机号码后短时间保持身份劫持状态以拦截短信,然后迅速的完成网络用户注册开户或者某些敏感操作的短信确认,就可以实现批量自动注册用户和刷单了。还有今年发现的在国际机场附近劫持手机身份,然后在国外运营商网络里拨打主叫高付费电话的利用方式,就更恶性了。
我发现理论上可以把 LTE 重定向攻击和 GSM 中间人攻击这两者组合起来,形成一个广泛适用的,威力强大的攻击工具。以我对黑产的观察,这种工具迟早被黑产研发出来并加以利用。电信协议漏洞的时效性非常长,因为需要照顾现存的几十亿部手机终端。电信协议漏洞一旦被黑产利用,危害将广泛而持久。我个人预测,黑产将首先瞄准短信验证码这种已被证明不安全的认证机制,并先从手机银行和手机支付系统入手。各金融机构和网络服务商应充分警醒,早做准备,毕竟部署另一套身份认证系统需要不少时间。为了证明这种攻击不只理论上成立,而且很快会真实出现,让业界尽早放弃短信验证码,我编程实现了这种攻击组合,并在 8 月的 KCon 黑客大会上做了演讲《伪基站高级利用技术——彻底攻破短信验证码》。今天这次公开课,也是基于同样目的,就是再推一把短信验证码这个朽而不倒,很不容易推倒的认证机制,并提出替代解决方案。
遵循负责任披露(Responsible Disclosure)模式,我不会对外发布攻击源代码和实现的具体细节,避免被黑产从业者利用。但是我仍会披露足够多的信息,使各金融机构和网络服务商能充分重视,了解到安全威胁的严重性并准备替代解决方案。
LTE RRC重定向在现网中频繁使用,多见于LTE手机接打电话时的电路域回落(CSFB),是指LTE系统通过 RRCConnectionRelease 消息中的 redirectedCarrierInfo 指示手机/用户设备(UE)在离开连接态后要尝试驻留到指定的系统/频点。UE会先释放掉当前连接,然后重定向到指示的频点重新建立连接。