金明宇

摘 要：4G网络的安全性很高，但是协议里面仍然留下了一些漏洞。针对这些漏洞的4G网络犯罪已经出现。这种犯罪行为会结合2G技术，来非法获取用户的通信信息，造成用户财产损失。本文分析了4G降级+2G短信窃听的组合攻击特点，从终端侧提出了一套完整的检测及规避机制，该机制经验证在现网是可行的。

关键词：4G网络降级 信号质量 信号干扰 重定向信息 GSM短信嗅探 位置更新

中图分类号：TP27 文献标识码：A 文章编号：1672-3791（2018）12（a）-00-03

1 4G降级+2G窃听组合攻击的描述

近来社会上出现了多起利用4G伪基站或干扰器结合2G短信嗅探设备，在深夜人们毫无防备的时候，对驻留在4G的手机进行诱导降级到2G，同时结合非法渠道获得的受害者身份证号码、银行卡号、支付平台账号等其他敏感信息，通过非法截获受害者短信验证码，来实施盗刷受害者银行卡、侵害受害者资产等犯罪行为，给受害者造成很大的财产损失和不便。

2 目前应对措施

针对这种新型的犯罪方式，不少行业内部专家认为手机用户没有很好的应对办法，建议手机夜间关机或开启飞行模式，只连接WiFi。在这种情况下，手机终端在运营商网络侧处于关機状态，网络是不会给手机发送任何消息的，但是这样做会让用户面临另一个问题，那就是夜间需要紧急联系时无法联系上。

3 攻击手段分析及手机侧应对方案

针对第一节描述的问题，我们可以看出这种犯罪方式主要利用了通信协议里面的几个漏洞。

LTE协议3GPP TS 24.301章节4.4.4.2规定了绝大部分NAS信令消息需要加密保护，但是有下面一些例外：

IDENTITY REQUEST （if requested identification parameter is IMSI）；

AUTHENTICATION REQUEST；

AUTHENTICATION REJECT；

ATTACH REJECT （if the EMM cause is not #25）；

DETACH ACCEPT （for non switch off）；

TRACKING AREA UPDATE REJECT （if the EMM cause is not #25）；

SERVICE REJECT （if the EMM cause is not #25）

伪基站正是利用了这一点，在捕获到用户UE后，诱导UE发起位置更新，在这过程中，下发身份验证请求IDENTITY REQUEST。由于协议规定UE对于这个消息在安全环境建立之前即可处理，所以UE在IDENTITY RESPONSE中返回自己的IMSI。同样，IDENTITY RESPONSE也不需要加密（3GPP TS 24.301 4.4.4.3）。随后伪基站下发ATTACH REJECT或TRACKING AREA UPDATE REJECT，并在RRC Connection Release消息里面附带重定向信息RedirectedCarrierInfo（图1），指示终端UE从LTE迁移到GSM网络，在无安全性的2G网络实施进一步的非法行为。

GSM下通信内容明文传输。由于历史原因，联通移动GSM的数据传输使用明文进行，导致短信甚至电话极易被窃听。短信窃听设备不像2G伪基站，全程不会发射无线信号，它只是监听GSM空中信道并进行解码，提取出感兴趣的特定内容。这样的犯罪行为更隐蔽，极难被发现。

对于使用4G信号干扰器的情形，终端感受到的只是4G信号质量持续下降，最后为了保证用户的通信，终端不得不发起跨系统，即从4G到2G的重选。这个攻击主要是针对中国移动用户，因为移动的3G网络覆盖较差，而GSM网络建设较好，覆盖较广。大部分手机从4G掉网后，能找到的就是2G网络。

如果我们只是建议用户晚上关机或打开飞行模式，虽然可以避免网络下发短信，但是带来的不便也是不言而喻的。

在这里我们提出了一个手机侧的保护方案，该方案的主要思想是终端自我评估环境的安全度，包括LTE基站的可信度，无线环境的安全度，根据这个安全度，对后续操作采取不同的应对措施。

根据统计，这类非法攻击主要发生在深夜，人们毫无戒备的时候。所以我们将设置23：00到次日凌晨5：00，作为高危时间段。在这个时间段内，执行如下检测算法。

（1）手机上层定期收集传感器信息，如位置信息，陀螺仪信息，据此判断手机是否有大范围移动。同时收集基带上报的4G小区信息，如小区id、小区信号质量。

（2）如果4G小区id未变化，手机位置也未发生大的移动，但是4G小区信号质量在短时间内快速下降到门限值以下，以至于需要发起LTE到GSM的切换，那么将变量possible_lte_attack设置为true。

（3）如果手机位置未发生大的移动，当前LTE小区信号质量也较稳定， 但是出现了一个更好的LTE小区，使得UE需要重选到新小区。而重选过程中在位置更新时，基站一直没有下发鉴权要求消息（Authentication request），相反只下发了IDENTITY REQUEST，在UE上报了IMSI后Reject了UE的位置更新请求，那么将变量possible_lte_attack设置为true。

（4）在possible_lte_attack为true的情况下，如果当前LTE小区通过RRC Connection Release消息下发了重定向到2G小区的信息，那么手机忽略该消息，并将当前小区置入禁止小区列表，同时发起LTE小区重选，possible_lte_attack恢复到false。

（5）在possible_lte_attack为true的情况下如果UE通过自己搜网找到了信号最好的GSM小区，接着要做小区选择及位置更新（Location Update）。在這个过程中UE上报自己的能力，将短信能力（sms capability）关闭（图2）。这个做法的目的是为了通知网络，不要给该用户下发短信，从而避免短信被窃听的可能。在联通和移动的现网实验中，一旦将短信能力关闭，那么手机就不会受到网络下发的MT短信。如果关闭短信能力之后，UE还是受到了小区下发的SMS，那么该小区应该就是GSM伪基站，UE将该小区放入小区禁止列表，发起GSM的小区选择。同时保持possible_lte_attack为true。

（6）UE驻留在GSM的同时，仍然需要定期扫描LTE网络，如果发现了可用的LTE小区，那么UE需要返回LTE，向信号最好的可用LTE小区发起位置更新。如果新LTE小区通过了双向的鉴权，那么possible_lte_attack恢复为false。

（7）在possible_lte_attack为true的时候，手机在界面上提示用户可能受到伪基站攻击，GSM短信能力被暂时关闭了。用户可以选择是否继续启用短信服务。如果用户启用短信服务，那么UE重新发起位置更新，上报自己短信能力启用（见图3）。

（8）手机离开高危时间段时，将possible_lte_attack恢复为false，向网络通知启用短信，同时禁用上述检测逻辑。具体高危时间段的设置可以通过菜单显示给用户，并允许用户自己定义。

4 结语

本文展示的方案基于对目前出现的LTE降级和GSM窃听的行为特征分析，评估手机受到非法通信攻击的可能性，通过临时关闭手机短信能力来避免可能发生的短信被窃听的危险。这种方式既能够保护用户的安全，又避免了深夜对用户的提醒，具有一定智能，同时保留了语音通话能力，不会使用户失去通信联系，是一种实用性较高的方案。

参考文献

[1] LTE降级+GSM窃听攻击实例“这下一无所有了”[EB/OL].https：//www.douban.com/group/topic/121312665/.

[2] “新技术诈骗让不少人损失惨重！警方提醒注意以下问题”[EB/OL].https：//baijiahao.baidu.com/s？id=1607948319082612267𝔴=spider&for;=pc.

[3] 网络安全实践指南——应对截获短信验证码实施网络身份假冒攻击的技术指引[EB/OL].https：//www.tc260.org.cn/file/zn2.pdf.

[4] 3GPP TS 24.301 LTE Non-Access-Stratum（NAS）protocol for Evolved Packet System（EPS）Stage 3[EB/OL].http：//www.3gpp.org/ftp//Specs/archive/24_series/24.301/24301-f40.zip.

[5] 3GPP TS 24.008 GSM/UMTA/LTE Mobile radio interface Layer 3 specification Core network protocols Stage 3[EB/OL].http：//www.3gpp.org/ftp//Specs/archive/24_series/24.008/24008-f40.zip.