世界上最悲惨的事情之一,
莫过于你的女朋友是一名黑客。
因为你永远不知道,
她究竟有什么手段来监控你。
就在今天,一位来自中国的美女黑客向世界证明了:她有办法监听到指定手机的所有通讯数据。
【360 独角兽团队 张婉桥】
这名美女黑客名叫张婉桥,来自 360 独角兽团队。她在国际顶级黑客会议 DEF CON 上分享了这个“悲伤”的研究。和他一起公布这个成果的黑客,是同样来自360独角兽团队的单好奇。(单好奇曾为向女友表忠心而在她电脑上安装了一个监控自己的木马,也许这就是张婉桥拉他一起研究这个技术的原因吧。。。囧)
【单好奇(左)和张婉桥在 DEF CON 做演讲】
| 谎言、欺骗、4G伪基站
张婉桥告诉雷锋网,为了截获手机上的信息,要做的一切就是用“一套谎言”来欺骗目标手机。这套谎言来自披着羊皮的狼:伪基站。
你可能听说过伪基站这种邪恶的东东,它主要被黑产用于收发垃圾短信,钓鱼信息。不过,你所熟知的伪基站大多采用如下的技术手段:
1、用高强度的干扰信号屏蔽掉一个区域内所有的 3G、4G 手机信号。
2、大多数手机在无法连接 3G、4G 信号时,会选择自动寻找2G 信号。此时手机自然被引向了伪基站的 2G 信号,然后不知不觉接收了诈骗信息。
之所以黑产将信号压制在 2G 之内,而不直接攻击 3G 和 4G 信号,是因为这些通信方式采用了更为严密的安全模式。但是,这种暴力屏蔽信号的模式,往往会造成大面积正在通信的手机信号中断,人们会察觉到信号异常而试图离开伪基站区域。
| 4G 伪基站
而我们的美女黑客,选择直接对 4G LTE 信号下手。她说:
由于4G LTE 信号采用双向鉴权,意思是基站要验证手机的身份,而手机也要验证基站的身份。一旦相互认证成功,双方就进入加密通信模式,这个时候就很难再进行攻击了。所以我的攻击必须要在鉴权完成之前实行
双向鉴权的过程,成为了张婉桥黑掉手机网络为数不多的好机会。在演讲中,她和单好奇详细解释了攻击的三个步骤:
| 1、骗到手机号码的“身份证”
IMSI,这个听起来并不性感的单词对于手机来说非常重要,它是手机号码在运营商服务器上的唯一识别码。也就是说,你看到的是自己的手机号,而在运营商的数据库里,你的手机号对应一个 IMSI 码。这就像手机的“身份证”,所有的通信操作都基于对这个身份证的认证。
【手机号的“身份证”IMSI 的捕获方法】
对于一个架设伪基站的攻击者来说,搞到接入手机的身份证,才能进行下一步的攻击。但是,IMSI 对手机来说就像是内裤:“每个人都有,但不能随便给人看。”
张婉桥告诉雷锋网:
一般来说,为了安全起见,手机从一个基站切换到另一个基站的时候,会给对方一个TMSI码,这个码是临时的,有效期比较短。而一般只有当手机第一次搜索信号——例如关机重启——时,才会给基站出示永久的 IMSI 码。
这就造成了一个棘手的问题:在黑别人手机的时候,一般是不能冲上去帮别人重启手机的。
为了搞到被攻击收集的 IMSI 码,她需要制造一个 4G 伪基站。4G 伪基站没有办法直接和手机取得通信,因为它的身份无法通过手机的校验。不过在手机校验基站之前,基站可以先给手机一个下马威:
在手机给伪基站出示“TMSI”码之后,伪基站可以给手机发送信息,表示我还是没办法判断你的身份。而根据通信协议,这个时候手机必须出示它的 IMSI码。
通俗来讲,就是一个假保安站在大门口,无论如何不让来访者进去,除非他出示自己的身份证。用这种方式,伪基站终于“骗”到了手机号码的“身份证”。
2、演戏的假保安
在搞到手机号码的身份证之后,这个“假保安”(伪基站)还不善罢干休。他会告诉手机:大厦里已经满员了,不能再允许你进入了。
而这个时候,手机仍然没有机会识破对方“假保安”的身份,于是误以为真的是网络满载。
因为伪基站的信号强度非常大,掩盖了真实的信号。所以这个时候对于手机来说,没有其他可用的网络。为了节省电量,手机会进入一种关闭信号的状态,直到你下一次重启手机。
这时,懵逼的手机往往会长时间处于无信号状态,直到机主注意到并且手动重启。这就造成了一种“拒绝服务攻击”(DoS)。
相信你也想到了,身份没有败露的保安完全可以做进一步的坏事。
3、落入陷阱
张婉桥告诉雷锋网,在4G LTE 的通讯协议中,有一个奇葩的规定:
当一个基站认为自己负载过大时,可以引导前来访问的手机到指定的基站。于是我们可以用 4G 伪基站把手机引导向一个 2G 的伪基站。
回到保安的例子。这就相当于假保安告诉来访者,在大楼旁边还有一座小楼,你在那里也可以办理你的业务。
没错,那一座小楼,根本就是黑客搭建出来的虚假环境——2G 伪基站。
于是,经过这么一大圈,可怜的手机终于又落到了 2G 伪基站的魔爪。由于在 2G 网络中,手机无权判断基站的真伪,所以会毫无保留地把信息交给伪基站。而伪基站甚至可以作为“中间人”把通讯信息完整地交给真基站。在用户看来,自己的通讯没有什么问题,但是实际情况是,他所有的通信内容都被这个“中间人”所窃听了。
【3GPP 历年指定的通讯协议】
| 奇葩的规定从何而来?
也许你会问,为什么手机必须遵循基站的命令跳转到指定的新基站呢?
张婉桥说,这个缺陷从某种程度上说并不是一个漏洞。因为早在2005年,4G 协议的制定机构 3GPP 内部的专家就已经意识到这个规则在理论上可能会导致攻击。但是协议并没有对这个规则做封堵。
因为在地震或火灾这种紧急情况发生时,很可能会发生所有手机都同时连接同一个基站的情况。这就会造成基站过载而崩溃。手机是很“傻”的,往往只会搜索附近信号最强的那个基站,这个时候,就需要手机服从命令,听从基站的调遣连接到指定的另一个基站。
而在通信协议没有更改的情况下,所有的手机都处在被如此攻击的可能性之中。
| 善良的黑客
对于张婉桥来说,她对于监控男友通讯记录神马的完全没有兴趣。确切地说,作为一名白帽子黑客,她有着严格的底线和价值观。
她对于破解 4G LTE 技术的研究,是为了寻找到一个保护手机网络的方法,避免这种攻击被真正的坏人利用。
目前看来,在不修改国际通用 4G LTE 协议的情况下,很难完全避免这种攻击,唯一能在这方面做出改进的,就是手机生产厂商。例如:
1、由于攻击最终会转到 2G 伪基站进行,而 2G 伪基站有一些自己的特性,如果在手机中加入一些识别条件,就可以识别出大多数的伪基站,这时就可以对用户进行提醒,或者干脆拒绝连接。
2、对于 4G 伪基站的拒绝服务攻击,可以让手机在这种状态下每半小时,甚至更短时间自动重连一次网络,就不会造成长时间断网的情况。
张婉桥对雷锋网说,有关 4G LTE 的破解研究很多底层的逻辑构建都,其实主要得益于独角兽团队的无线通信专家黄琳。这两个建议已经被团队提交给自家的奇酷手机,相应的解决规则应该正在编写中。
虽然在现实生活中,并没有证据表明这类攻击已经发生。但是张婉桥和单好奇的研究告诉人们,4G网络的安全并非儿戏。这种攻击难以察觉而杀伤力巨大。当这种攻击真的开始大规模发生,人们所付出的代价,将是难以估量的。
P.S. 张婉桥特别鸣谢:队友单好奇、独角兽团队通信大牛黄琳、独角兽团队首席黑客杨卿。研究成果为团队协力完成。
附,张婉桥演讲结束之后被宅男“围攻”的场景