世界上最悲慘的事情之一，

莫過于你的女朋友是一名黑客。

因?yàn)槟阌肋h(yuǎn)不知道，

她究竟有什么手段來監(jiān)控你。

就在今天，一位來自中國的美女黑客向世界證明了：她有辦法監(jiān)聽到指定手機(jī)的所有通訊數(shù)據(jù)。

360 獨(dú)角獸團(tuán)隊(duì)張婉橋

這名美女黑客名叫張婉橋，來自360 獨(dú)角獸團(tuán)隊(duì)。她在國際頂級黑客會議DEF CON 上分享了這個(gè)“悲傷”的研究。和他一起公布這個(gè)成果的黑客，是同樣來自360獨(dú)角獸團(tuán)隊(duì)的單好奇。(單好奇曾為向女友表忠心而在她電腦上安裝了一個(gè)監(jiān)控自己的木馬，也許這就是張婉橋拉他一起研究這個(gè)技術(shù)的原因吧。。。囧)

單好奇(左)和張婉橋在DEF CON 做演講

謊言、欺騙、4G偽基站

張婉橋告訴雷鋒網(wǎng)，為了截獲手機(jī)上的信息，要做的一切就是用“一套謊言”來欺騙目標(biāo)手機(jī)。這套謊言來自披著羊皮的狼：偽基站。

你可能聽說過偽基站這種邪惡的東東，它主要被黑產(chǎn)用于收發(fā)垃圾短信，釣魚信息。不過，你所熟知的偽基站大多采用如下的技術(shù)手段：

1、用高強(qiáng)度的干擾信號屏蔽掉一個(gè)區(qū)域內(nèi)所有的3G、4G 手機(jī)信號。

2、大多數(shù)手機(jī)在無法連接3G、4G 信號時(shí)，會選擇自動(dòng)尋找2G 信號。此時(shí)手機(jī)自然被引向了偽基站的2G 信號，然后不知不覺接收了詐騙信息。

之所以黑產(chǎn)將信號壓制在2G 之內(nèi)，而不直接攻擊3G 和4G 信號，是因?yàn)檫@些通信方式采用了更為嚴(yán)密的安全模式。但是，這種暴力屏蔽信號的模式，往往會造成大面積正在通信的手機(jī)信號中斷，人們會察覺到信號異常而試圖離開偽基站區(qū)域。

4G 偽基站

而我們的美女黑客，選擇直接對4G LTE 信號下手。她說：

由于4G LTE 信號采用雙向鑒權(quán)，意思是基站要驗(yàn)證手機(jī)的身份，而手機(jī)也要驗(yàn)證基站的身份。一旦相互認(rèn)證成功，雙方就進(jìn)入加密通信模式，這個(gè)時(shí)候就很難再進(jìn)行攻擊了。所以我的攻擊必須要在鑒權(quán)完成之前實(shí)行

雙向鑒權(quán)的過程，成為了張婉橋黑掉手機(jī)網(wǎng)絡(luò)為數(shù)不多的好機(jī)會。在演講中，她和單好奇詳細(xì)解釋了攻擊的三個(gè)步驟：

1、騙到手機(jī)號碼的“身份證”

IMSI，這個(gè)聽起來并不性感的單詞對于手機(jī)來說非常重要，它是手機(jī)號碼在運(yùn)營商服務(wù)器上的唯一識別碼。也就是說，你看到的是自己的手機(jī)號，而在運(yùn)營商的數(shù)據(jù)庫里，你的手機(jī)號對應(yīng)一個(gè)IMSI 碼。這就像手機(jī)的“身份證”，所有的通信操作都基于對這個(gè)身份證的認(rèn)證。

手機(jī)號的“身份證”IMSI 的捕獲方法

對于一個(gè)架設(shè)偽基站的攻擊者來說，搞到接入手機(jī)的身份證，才能進(jìn)行下一步的攻擊。但是，IMSI 對手機(jī)來說就像是內(nèi)褲：“每個(gè)人都有，但不能隨便給人看。”

張婉橋告訴雷鋒網(wǎng)：

一般來說，為了安全起見，手機(jī)從一個(gè)基站切換到另一個(gè)基站的時(shí)候，會給對方一個(gè)TMSI碼，這個(gè)碼是臨時(shí)的，有效期比較短。而一般只有當(dāng)手機(jī)第一次搜索信號——例如關(guān)機(jī)重啟——時(shí)，才會給基站出示永久的IMSI 碼。

這就造成了一個(gè)棘手的問題：在黑別人手機(jī)的時(shí)候，一般是不能沖上去幫別人重啟手機(jī)的。

為了搞到被攻擊收集的IMSI 碼，她需要制造一個(gè)4G 偽基站。4G 偽基站沒有辦法直接和手機(jī)取得通信，因?yàn)樗纳矸轃o法通過手機(jī)的校驗(yàn)。不過在手機(jī)校驗(yàn)基站之前，基站可以先給手機(jī)一個(gè)下馬威：

在手機(jī)給偽基站出示“TMSI”碼之后，偽基站可以給手機(jī)發(fā)送信息，表示我還是沒辦法判斷你的身份。而根據(jù)通信協(xié)議，這個(gè)時(shí)候手機(jī)必須出示它的IMSI碼。

通俗來講，就是一個(gè)假保安站在大門口，無論如何不讓來訪者進(jìn)去，除非他出示自己的身份證。用這種方式，偽基站終于“騙”到了手機(jī)號碼的“身份證”。

2、演戲的假保安

在搞到手機(jī)號碼的身份證之后，這個(gè)“假保安”(偽基站)還不善罷干休。他會告訴手機(jī)：大廈里已經(jīng)滿員了，不能再允許你進(jìn)入了。

而這個(gè)時(shí)候，手機(jī)仍然沒有機(jī)會識破對方“假保安”的身份，于是誤以為真的是網(wǎng)絡(luò)滿載。

因?yàn)閭位镜男盘枏?qiáng)度非常大，掩蓋了真實(shí)的信號。所以這個(gè)時(shí)候?qū)τ谑謾C(jī)來說，沒有其他可用的網(wǎng)絡(luò)。為了節(jié)省電量，手機(jī)會進(jìn)入一種關(guān)閉信號的狀態(tài)，直到你下一次重啟手機(jī)。

這時(shí)，懵逼的手機(jī)往往會長時(shí)間處于無信號狀態(tài)，直到機(jī)主注意到并且手動(dòng)重啟。這就造成了一種“拒絕服務(wù)攻擊”(DoS)。

相信你也想到了，身份沒有敗露的保安完全可以做進(jìn)一步的壞事。

3、落入陷阱

張婉橋告訴雷鋒網(wǎng)，在4G LTE 的通訊協(xié)議中，有一個(gè)奇葩的規(guī)定：

當(dāng)一個(gè)基站認(rèn)為自己負(fù)載過大時(shí)，可以引導(dǎo)前來訪問的手機(jī)到指定的基站。于是我們可以用4G 偽基站把手機(jī)引導(dǎo)向一個(gè)2G 的偽基站。

回到保安的例子。這就相當(dāng)于假保安告訴來訪者，在大樓旁邊還有一座小樓，你在那里也可以辦理你的業(yè)務(wù)。

沒錯(cuò)，那一座小樓，根本就是黑客搭建出來的虛假環(huán)境——2G 偽基站。

于是，經(jīng)過這么一大圈，可憐的手機(jī)終于又落到了2G 偽基站的魔爪。由于在2G 網(wǎng)絡(luò)中，手機(jī)無權(quán)判斷基站的真?zhèn)危詴翢o保留地把信息交給偽基站。而偽基站甚至可以作為“中間人”把通訊信息完整地交給真基站。在用戶看來，自己的通訊沒有什么問題，但是實(shí)際情況是，他所有的通信內(nèi)容都被這個(gè)“中間人”所竊聽了。

3GPP 歷年指定的通訊協(xié)議

奇葩的規(guī)定從何而來?

也許你會問，為什么手機(jī)必須遵循基站的命令跳轉(zhuǎn)到指定的新基站呢?

張婉橋說，這個(gè)缺陷從某種程度上說并不是一個(gè)漏洞。因?yàn)樵缭?005年，4G 協(xié)議的制定機(jī)構(gòu)3GPP 內(nèi)部的專家就已經(jīng)意識到這個(gè)規(guī)則在理論上可能會導(dǎo)致攻擊。但是協(xié)議并沒有對這個(gè)規(guī)則做封堵。

因?yàn)樵诘卣鸹蚧馂?zāi)這種緊急情況發(fā)生時(shí)，很可能會發(fā)生所有手機(jī)都同時(shí)連接同一個(gè)基站的情況。這就會造成基站過載而崩潰。手機(jī)是很“傻”的，往往只會搜索附近信號最強(qiáng)的那個(gè)基站，這個(gè)時(shí)候，就需要手機(jī)服從命令，聽從基站的調(diào)遣連接到指定的另一個(gè)基站。

而在通信協(xié)議沒有更改的情況下，所有的手機(jī)都處在被如此攻擊的可能性之中。

善良的黑客

對于張婉橋來說，她對于監(jiān)控男友通訊記錄神馬的完全沒有興趣。確切地說，作為一名白帽子黑客，她有著嚴(yán)格的底線和價(jià)值觀。

她對于破解4G LTE 技術(shù)的研究，是為了尋找到一個(gè)保護(hù)手機(jī)網(wǎng)絡(luò)的方法，避免這種攻擊被真正的壞人利用。

目前看來，在不修改國際通用4G LTE 協(xié)議的情況下，很難完全避免這種攻擊，唯一能在這方面做出改進(jìn)的，就是手機(jī)生產(chǎn)廠商。例如：

1、由于攻擊最終會轉(zhuǎn)到2G 偽基站進(jìn)行，而2G 偽基站有一些自己的特性，如果在手機(jī)中加入一些識別條件，就可以識別出大多數(shù)的偽基站，這時(shí)就可以對用戶進(jìn)行提醒，或者干脆拒絕連接。

2、對于4G 偽基站的拒絕服務(wù)攻擊，可以讓手機(jī)在這種狀態(tài)下每半小時(shí)，甚至更短時(shí)間自動(dòng)重連一次網(wǎng)絡(luò)，就不會造成長時(shí)間斷網(wǎng)的情況。

張婉橋?qū)卒h網(wǎng)(搜索“雷鋒網(wǎng)”公眾號關(guān)注)說，有關(guān)4G LTE 的破解研究很多底層的邏輯構(gòu)建都，其實(shí)主要得益于獨(dú)角獸團(tuán)隊(duì)的無線通信專家黃琳。這兩個(gè)建議已經(jīng)被團(tuán)隊(duì)提交給自家的奇酷手機(jī)，相應(yīng)的解決規(guī)則應(yīng)該正在編寫中。

雖然在現(xiàn)實(shí)生活中，并沒有證據(jù)表明這類攻擊已經(jīng)發(fā)生。但是張婉橋和單好奇的研究告訴人們，4G網(wǎng)絡(luò)的安全并非兒戲。這種攻擊難以察覺而殺傷力巨大。當(dāng)這種攻擊真的開始大規(guī)模發(fā)生，人們所付出的代價(jià)，將是難以估量的。

P.S. 張婉橋特別鳴謝：隊(duì)友單好奇、獨(dú)角獸團(tuán)隊(duì)通信大牛黃琳、獨(dú)角獸團(tuán)隊(duì)首席黑客楊卿。研究成果為團(tuán)隊(duì)協(xié)力完成。