APP下载

一种避免4G手机网络降级后被短信嗅探的方法

2018-03-06金明宇

科技资讯 2018年34期
关键词:降级基站短信

金明宇

摘 要:4G网络的安全性很高,但是协议里面仍然留下了一些漏洞。针对这些漏洞的4G网络犯罪已经出现。这种犯罪行为会结合2G技术,来非法获取用户的通信信息,造成用户财产损失。本文分析了4G降级+2G短信窃听的组合攻击特点,从终端侧提出了一套完整的检测及规避机制,该机制经验证在现网是可行的。

关键词:4G网络降级 信号质量 信号干扰 重定向信息 GSM短信嗅探 位置更新

中图分类号:TP27 文献标识码:A 文章编号:1672-3791(2018)12(a)-00-03

1 4G降级+2G窃听组合攻击的描述

近来社会上出现了多起利用4G伪基站或干扰器结合2G短信嗅探设备,在深夜人们毫无防备的时候,对驻留在4G的手机进行诱导降级到2G,同时结合非法渠道获得的受害者身份证号码、银行卡号、支付平台账号等其他敏感信息,通过非法截获受害者短信验证码,来实施盗刷受害者银行卡、侵害受害者资产等犯罪行为,给受害者造成很大的财产损失和不便。

2 目前应对措施

针对这种新型的犯罪方式,不少行业内部专家认为手机用户没有很好的应对办法,建议手机夜间关机或开启飞行模式,只连接WiFi。在这种情况下,手机终端在运营商网络侧处于关機状态,网络是不会给手机发送任何消息的,但是这样做会让用户面临另一个问题,那就是夜间需要紧急联系时无法联系上。

3 攻击手段分析及手机侧应对方案

针对第一节描述的问题,我们可以看出这种犯罪方式主要利用了通信协议里面的几个漏洞。

LTE协议3GPP TS 24.301章节4.4.4.2规定了绝大部分NAS信令消息需要加密保护,但是有下面一些例外:

IDENTITY REQUEST (if requested identification parameter is IMSI);

AUTHENTICATION REQUEST;

AUTHENTICATION REJECT;

ATTACH REJECT (if the EMM cause is not #25);

DETACH ACCEPT (for non switch off);

TRACKING AREA UPDATE REJECT (if the EMM cause is not #25);

SERVICE REJECT (if the EMM cause is not #25)

伪基站正是利用了这一点,在捕获到用户UE后,诱导UE发起位置更新,在这过程中,下发身份验证请求IDENTITY REQUEST。由于协议规定UE对于这个消息在安全环境建立之前即可处理,所以UE在IDENTITY RESPONSE中返回自己的IMSI。同样,IDENTITY RESPONSE也不需要加密(3GPP TS 24.301 4.4.4.3)。随后伪基站下发ATTACH REJECT或TRACKING AREA UPDATE REJECT,并在RRC Connection Release消息里面附带重定向信息RedirectedCarrierInfo(图1),指示终端UE从LTE迁移到GSM网络,在无安全性的2G网络实施进一步的非法行为。

GSM下通信内容明文传输。由于历史原因,联通移动GSM的数据传输使用明文进行,导致短信甚至电话极易被窃听。短信窃听设备不像2G伪基站,全程不会发射无线信号,它只是监听GSM空中信道并进行解码,提取出感兴趣的特定内容。这样的犯罪行为更隐蔽,极难被发现。

对于使用4G信号干扰器的情形,终端感受到的只是4G信号质量持续下降,最后为了保证用户的通信,终端不得不发起跨系统,即从4G到2G的重选。这个攻击主要是针对中国移动用户,因为移动的3G网络覆盖较差,而GSM网络建设较好,覆盖较广。大部分手机从4G掉网后,能找到的就是2G网络。

如果我们只是建议用户晚上关机或打开飞行模式,虽然可以避免网络下发短信,但是带来的不便也是不言而喻的。

在这里我们提出了一个手机侧的保护方案,该方案的主要思想是终端自我评估环境的安全度,包括LTE基站的可信度,无线环境的安全度,根据这个安全度,对后续操作采取不同的应对措施。

根据统计,这类非法攻击主要发生在深夜,人们毫无戒备的时候。所以我们将设置23:00到次日凌晨5:00,作为高危时间段。在这个时间段内,执行如下检测算法。

(1)手机上层定期收集传感器信息,如位置信息,陀螺仪信息,据此判断手机是否有大范围移动。同时收集基带上报的4G小区信息,如小区id、小区信号质量。

(2)如果4G小区id未变化,手机位置也未发生大的移动,但是4G小区信号质量在短时间内快速下降到门限值以下,以至于需要发起LTE到GSM的切换,那么将变量possible_lte_attack设置为true。

(3)如果手机位置未发生大的移动,当前LTE小区信号质量也较稳定, 但是出现了一个更好的LTE小区,使得UE需要重选到新小区。而重选过程中在位置更新时,基站一直没有下发鉴权要求消息(Authentication request),相反只下发了IDENTITY REQUEST,在UE上报了IMSI后Reject了UE的位置更新请求,那么将变量possible_lte_attack设置为true。

(4)在possible_lte_attack为true的情况下,如果当前LTE小区通过RRC Connection Release消息下发了重定向到2G小区的信息,那么手机忽略该消息,并将当前小区置入禁止小区列表,同时发起LTE小区重选,possible_lte_attack恢复到false。

(5)在possible_lte_attack为true的情况下如果UE通过自己搜网找到了信号最好的GSM小区,接着要做小区选择及位置更新(Location Update)。在這个过程中UE上报自己的能力,将短信能力(sms capability)关闭(图2)。这个做法的目的是为了通知网络,不要给该用户下发短信,从而避免短信被窃听的可能。在联通和移动的现网实验中,一旦将短信能力关闭,那么手机就不会受到网络下发的MT短信。如果关闭短信能力之后,UE还是受到了小区下发的SMS,那么该小区应该就是GSM伪基站,UE将该小区放入小区禁止列表,发起GSM的小区选择。同时保持possible_lte_attack为true。

(6)UE驻留在GSM的同时,仍然需要定期扫描LTE网络,如果发现了可用的LTE小区,那么UE需要返回LTE,向信号最好的可用LTE小区发起位置更新。如果新LTE小区通过了双向的鉴权,那么possible_lte_attack恢复为false。

(7)在possible_lte_attack为true的时候,手机在界面上提示用户可能受到伪基站攻击,GSM短信能力被暂时关闭了。用户可以选择是否继续启用短信服务。如果用户启用短信服务,那么UE重新发起位置更新,上报自己短信能力启用(见图3)。

(8)手机离开高危时间段时,将possible_lte_attack恢复为false,向网络通知启用短信,同时禁用上述检测逻辑。具体高危时间段的设置可以通过菜单显示给用户,并允许用户自己定义。

4 结语

本文展示的方案基于对目前出现的LTE降级和GSM窃听的行为特征分析,评估手机受到非法通信攻击的可能性,通过临时关闭手机短信能力来避免可能发生的短信被窃听的危险。这种方式既能够保护用户的安全,又避免了深夜对用户的提醒,具有一定智能,同时保留了语音通话能力,不会使用户失去通信联系,是一种实用性较高的方案。

参考文献

[1] LTE降级+GSM窃听攻击实例“这下一无所有了”[EB/OL].https://www.douban.com/group/topic/121312665/.

[2] “新技术诈骗让不少人损失惨重!警方提醒注意以下问题”[EB/OL].https://baijiahao.baidu.com/s?id=1607948319082612267𝔴=spider&for;=pc.

[3] 网络安全实践指南——应对截获短信验证码实施网络身份假冒攻击的技术指引[EB/OL].https://www.tc260.org.cn/file/zn2.pdf.

[4] 3GPP TS 24.301 LTE Non-Access-Stratum(NAS)protocol for Evolved Packet System(EPS)Stage 3[EB/OL].http://www.3gpp.org/ftp//Specs/archive/24_series/24.301/24301-f40.zip.

[5] 3GPP TS 24.008 GSM/UMTA/LTE Mobile radio interface Layer 3 specification Core network protocols Stage 3[EB/OL].http://www.3gpp.org/ftp//Specs/archive/24_series/24.008/24008-f40.zip.

猜你喜欢

降级基站短信
基于NETMAX的基站网络优化
广东宣布2020年将新建4.8万个5G基站
5G基站辐射对人体有害?
吹牛皮
5G辐射比4G小
道歉短信
消费降级了吗?
代发短信
十八大后遭“断崖式降级”的官员
Panda Priorities