4G LTE由于具备双向鉴权的机制, 被普遍认为具有比GSM网络高得多的安全性。 然而, 在美国拉斯维加斯举行的黑客界的顶级盛会Defcon24上, 来自中国奇虎360的两名年轻的黑客单好奇和张婉桥却向世界展示了如何利用3GPP标准里的一个漏洞, 对LTE手机进行攻击从而迫使手机接入一个虚假LTE网络的演示。 安全牛记者有幸在现场聆听了他们的演讲。
左起:张婉桥、单好奇
8月6号下午, Defcon演讲厅了坐满了人, 由于是针对LTE这样的4G网络的攻击,引起了世界各地很多黑客的兴趣。
单好奇先是简单介绍了一下他们攻击的大体思路, 原来他们是利用软件无线电的设备, 利用了3GPP的漏洞取得手机的IMSI码, 然后通过DoS攻击使得手机接入虚假网络。 或者通过重定向使得手机通过经过黑客控制的网络进行通信, 从而能够截获手机的通信以及上网流量。
接着, 张婉桥介绍了具体的攻击步骤。 原来, 在手机与LTE网络建立连接时, 初始的一段信息是不加密和认证的, 而黑客们可以通过信号干扰, 通过LTE的TAU机制获取SIM卡的IMSI号。 然后, 他们可以通过DoS攻击迫使手机接入黑客控制的虚假GSM网络中。 或者把手机导入一个与运营商网络连接的受黑客控制的合法基站上, 从而能够对手机通信进行窃听以及对上网流量进行嗅探。 张婉桥展示了她进行攻击所采用的模拟LTE通信的软件无线电软件库以及她自己在实现攻击时使用的代码。
随后,他们通过Demo录像, 展示了他们在实验室中实现的对手机SIM卡IMSI号的获取, 对手机的DoS攻击以及将手机重定向到虚假GSM网络的实例。 在场响起了一片掌声。
紧接着, 单好奇向大家介绍了这一漏洞的历史以及存在的原因。 原来, 早在2006年, 3GPP的制定者就意识到存在这类攻击的可能性, 但是, 出于对系统可用性以资源使用效率的考虑, 3GPP标准中并没有针对这一类漏洞进行任何防范。 即使到了今天, 这一漏洞依然存在, 而单好奇和张婉桥的演示, 也使得人们能够真正认识到这一漏洞的危害。 在演讲中, 单好奇提出了手机厂商可以在软件中对这一漏洞进行一定程度的防范, 但是如果不从标准上解决的话, 这样的解决方案也只能说是权宜之计。
会后, 单好奇和张婉桥被听众团团围住进行交流。 安全牛记者也对他们进行了简单的采访。
安全牛: 单好奇, 你今天只有21岁, 却已经是Defcon的老兵了。 今年和去年演讲有什么不一样的感觉。
单好奇: 也没有什么特别的不同, 去年我来讲的时候刚毕业没多久, 还是有点紧张的, 今年感觉不怎么紧张了。
安全牛: 我也感觉到了, 你在台上的演讲好像自主多了, 不想去年好像主要是念稿了。 你能讲讲你们俩这个研究的分工吗?
单好奇: 其实这个研究, 我主要做一些无线网络方面的搭建, 很多攻击代码是我的同事张婉桥完成的。
安全牛: 张婉桥, 今年是你第一年来Defcon, 能介绍一下自己吗?
张婉桥: 我是去年4月份研究生毕业后加入360的。 在独角兽团队里跟着黄琳博士研究LTE的安全问题。 去年黄老师在Defcon关于GPS Spoofing的演讲很成功, 今年她决定让我这样的新人有个机会来演讲。
安全牛: 能讲讲你们的研究揭示的风险吗?
张婉桥: LTE网络一般认为具有很高的安全性, 我们的研究发现, 可以现成可以买到的设备, 对特定的手机进行通信截获。 这可能会让人们重新认识LTE的安全性问题。
安全牛: 好像刚才GSMA的一个标准制定的委员在会后跟你们交流了很久。
单好奇:确实, 这个漏洞的解决还是得需要从标准上解决。 我们也想以后参与到这样的标准制定中去。
安全牛: 非常好。 感谢你们今天精彩的演讲。
安全牛评
传统电信业的很多系统和标准, 在设计时都存在着安全的风险。 360团队这次揭示的风险, 可以说又一次引起人们对电信网络基础协议和基础标准的安全性的重视。 在很多标准的制定中, 往往更加重视性能, 功能, 而忽视了安全性, 或者对安全风险重视不足。 这一点需要改变。