一種避免4G手機(jī)網(wǎng)絡(luò)降級(jí)后被短信嗅探的方法

金明宇

摘 要：4G網(wǎng)絡(luò)的安全性很高，但是協(xié)議里面仍然留下了一些漏洞。針對(duì)這些漏洞的4G網(wǎng)絡(luò)犯罪已經(jīng)出現(xiàn)。這種犯罪行為會(huì)結(jié)合2G技術(shù)，來(lái)非法獲取用戶的通信信息，造成用戶財(cái)產(chǎn)損失。本文分析了4G降級(jí)+2G短信竊聽(tīng)的組合攻擊特點(diǎn)，從終端側(cè)提出了一套完整的檢測(cè)及規(guī)避機(jī)制，該機(jī)制經(jīng)驗(yàn)證在現(xiàn)網(wǎng)是可行的。

關(guān)鍵詞：4G網(wǎng)絡(luò)降級(jí) 信號(hào)質(zhì)量 信號(hào)干擾 重定向信息 GSM短信嗅探 位置更新

中圖分類(lèi)號(hào)：TP27 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1672-3791（2018）12（a）-00-03

1 4G降級(jí)+2G竊聽(tīng)組合攻擊的描述

近來(lái)社會(huì)上出現(xiàn)了多起利用4G偽基站或干擾器結(jié)合2G短信嗅探設(shè)備，在深夜人們毫無(wú)防備的時(shí)候，對(duì)駐留在4G的手機(jī)進(jìn)行誘導(dǎo)降級(jí)到2G，同時(shí)結(jié)合非法渠道獲得的受害者身份證號(hào)碼、銀行卡號(hào)、支付平臺(tái)賬號(hào)等其他敏感信息，通過(guò)非法截獲受害者短信驗(yàn)證碼，來(lái)實(shí)施盜刷受害者銀行卡、侵害受害者資產(chǎn)等犯罪行為，給受害者造成很大的財(cái)產(chǎn)損失和不便。

2 目前應(yīng)對(duì)措施

針對(duì)這種新型的犯罪方式，不少行業(yè)內(nèi)部專(zhuān)家認(rèn)為手機(jī)用戶沒(méi)有很好的應(yīng)對(duì)辦法，建議手機(jī)夜間關(guān)機(jī)或開(kāi)啟飛行模式，只連接WiFi。在這種情況下，手機(jī)終端在運(yùn)營(yíng)商網(wǎng)絡(luò)側(cè)處于關(guān)機(jī)狀態(tài)，網(wǎng)絡(luò)是不會(huì)給手機(jī)發(fā)送任何消息的，但是這樣做會(huì)讓用戶面臨另一個(gè)問(wèn)題，那就是夜間需要緊急聯(lián)系時(shí)無(wú)法聯(lián)系上。

3 攻擊手段分析及手機(jī)側(cè)應(yīng)對(duì)方案

針對(duì)第一節(jié)描述的問(wèn)題，我們可以看出這種犯罪方式主要利用了通信協(xié)議里面的幾個(gè)漏洞。

LTE協(xié)議3GPP TS 24.301章節(jié)4.4.4.2規(guī)定了絕大部分NAS信令消息需要加密保護(hù)，但是有下面一些例外：

IDENTITY REQUEST （if requested identification parameter is IMSI）；

AUTHENTICATION REQUEST；

AUTHENTICATION REJECT；

ATTACH REJECT （if the EMM cause is not #25）；

DETACH ACCEPT （for non switch off）；

TRACKING AREA UPDATE REJECT （if the EMM cause is not #25）；

SERVICE REJECT （if the EMM cause is not #25）

偽基站正是利用了這一點(diǎn)，在捕獲到用戶UE后，誘導(dǎo)UE發(fā)起位置更新，在這過(guò)程中，下發(fā)身份驗(yàn)證請(qǐng)求IDENTITY REQUEST。由于協(xié)議規(guī)定UE對(duì)于這個(gè)消息在安全環(huán)境建立之前即可處理，所以UE在IDENTITY RESPONSE中返回自己的IMSI。同樣，IDENTITY RESPONSE也不需要加密（3GPP TS 24.301 4.4.4.3）。隨后偽基站下發(fā)ATTACH REJECT或TRACKING AREA UPDATE REJECT，并在RRC Connection Release消息里面附帶重定向信息RedirectedCarrierInfo（圖1），指示終端UE從LTE遷移到GSM網(wǎng)絡(luò)，在無(wú)安全性的2G網(wǎng)絡(luò)實(shí)施進(jìn)一步的非法行為。

GSM下通信內(nèi)容明文傳輸。由于歷史原因，聯(lián)通移動(dòng)GSM的數(shù)據(jù)傳輸使用明文進(jìn)行，導(dǎo)致短信甚至電話極易被竊聽(tīng)。短信竊聽(tīng)設(shè)備不像2G偽基站，全程不會(huì)發(fā)射無(wú)線信號(hào)，它只是監(jiān)聽(tīng)GSM空中信道并進(jìn)行解碼，提取出感興趣的特定內(nèi)容。這樣的犯罪行為更隱蔽，極難被發(fā)現(xiàn)。

對(duì)于使用4G信號(hào)干擾器的情形，終端感受到的只是4G信號(hào)質(zhì)量持續(xù)下降，最后為了保證用戶的通信，終端不得不發(fā)起跨系統(tǒng)，即從4G到2G的重選。這個(gè)攻擊主要是針對(duì)中國(guó)移動(dòng)用戶，因?yàn)橐苿?dòng)的3G網(wǎng)絡(luò)覆蓋較差，而GSM網(wǎng)絡(luò)建設(shè)較好，覆蓋較廣。大部分手機(jī)從4G掉網(wǎng)后，能找到的就是2G網(wǎng)絡(luò)。

如果我們只是建議用戶晚上關(guān)機(jī)或打開(kāi)飛行模式，雖然可以避免網(wǎng)絡(luò)下發(fā)短信，但是帶來(lái)的不便也是不言而喻的。

在這里我們提出了一個(gè)手機(jī)側(cè)的保護(hù)方案，該方案的主要思想是終端自我評(píng)估環(huán)境的安全度，包括LTE基站的可信度，無(wú)線環(huán)境的安全度，根據(jù)這個(gè)安全度，對(duì)后續(xù)操作采取不同的應(yīng)對(duì)措施。

根據(jù)統(tǒng)計(jì)，這類(lèi)非法攻擊主要發(fā)生在深夜，人們毫無(wú)戒備的時(shí)候。所以我們將設(shè)置23：00到次日凌晨5：00，作為高危時(shí)間段。在這個(gè)時(shí)間段內(nèi)，執(zhí)行如下檢測(cè)算法。

（1）手機(jī)上層定期收集傳感器信息，如位置信息，陀螺儀信息，據(jù)此判斷手機(jī)是否有大范圍移動(dòng)。同時(shí)收集基帶上報(bào)的4G小區(qū)信息，如小區(qū)id、小區(qū)信號(hào)質(zhì)量。

（2）如果4G小區(qū)id未變化，手機(jī)位置也未發(fā)生大的移動(dòng)，但是4G小區(qū)信號(hào)質(zhì)量在短時(shí)間內(nèi)快速下降到門(mén)限值以下，以至于需要發(fā)起LTE到GSM的切換，那么將變量possible_lte_attack設(shè)置為true。

（3）如果手機(jī)位置未發(fā)生大的移動(dòng)，當(dāng)前LTE小區(qū)信號(hào)質(zhì)量也較穩(wěn)定， 但是出現(xiàn)了一個(gè)更好的LTE小區(qū)，使得UE需要重選到新小區(qū)。而重選過(guò)程中在位置更新時(shí)，基站一直沒(méi)有下發(fā)鑒權(quán)要求消息（Authentication request），相反只下發(fā)了IDENTITY REQUEST，在UE上報(bào)了IMSI后Reject了UE的位置更新請(qǐng)求，那么將變量possible_lte_attack設(shè)置為true。

（4）在possible_lte_attack為true的情況下，如果當(dāng)前LTE小區(qū)通過(guò)RRC Connection Release消息下發(fā)了重定向到2G小區(qū)的信息，那么手機(jī)忽略該消息，并將當(dāng)前小區(qū)置入禁止小區(qū)列表，同時(shí)發(fā)起LTE小區(qū)重選，possible_lte_attack恢復(fù)到false。

（5）在possible_lte_attack為true的情況下如果UE通過(guò)自己搜網(wǎng)找到了信號(hào)最好的GSM小區(qū)，接著要做小區(qū)選擇及位置更新（Location Update）。在這個(gè)過(guò)程中UE上報(bào)自己的能力，將短信能力（sms capability）關(guān)閉（圖2）。這個(gè)做法的目的是為了通知網(wǎng)絡(luò)，不要給該用戶下發(fā)短信，從而避免短信被竊聽(tīng)的可能。在聯(lián)通和移動(dòng)的現(xiàn)網(wǎng)實(shí)驗(yàn)中，一旦將短信能力關(guān)閉，那么手機(jī)就不會(huì)受到網(wǎng)絡(luò)下發(fā)的MT短信。如果關(guān)閉短信能力之后，UE還是受到了小區(qū)下發(fā)的SMS，那么該小區(qū)應(yīng)該就是GSM偽基站，UE將該小區(qū)放入小區(qū)禁止列表，發(fā)起GSM的小區(qū)選擇。同時(shí)保持possible_lte_attack為true。

（6）UE駐留在GSM的同時(shí)，仍然需要定期掃描LTE網(wǎng)絡(luò)，如果發(fā)現(xiàn)了可用的LTE小區(qū)，那么UE需要返回LTE，向信號(hào)最好的可用LTE小區(qū)發(fā)起位置更新。如果新LTE小區(qū)通過(guò)了雙向的鑒權(quán)，那么possible_lte_attack恢復(fù)為false。

（7）在possible_lte_attack為true的時(shí)候，手機(jī)在界面上提示用戶可能受到偽基站攻擊，GSM短信能力被暫時(shí)關(guān)閉了。用戶可以選擇是否繼續(xù)啟用短信服務(wù)。如果用戶啟用短信服務(wù)，那么UE重新發(fā)起位置更新，上報(bào)自己短信能力啟用（見(jiàn)圖3）。

（8）手機(jī)離開(kāi)高危時(shí)間段時(shí)，將possible_lte_attack恢復(fù)為false，向網(wǎng)絡(luò)通知啟用短信，同時(shí)禁用上述檢測(cè)邏輯。具體高危時(shí)間段的設(shè)置可以通過(guò)菜單顯示給用戶，并允許用戶自己定義。

4 結(jié)語(yǔ)

本文展示的方案基于對(duì)目前出現(xiàn)的LTE降級(jí)和GSM竊聽(tīng)的行為特征分析，評(píng)估手機(jī)受到非法通信攻擊的可能性，通過(guò)臨時(shí)關(guān)閉手機(jī)短信能力來(lái)避免可能發(fā)生的短信被竊聽(tīng)的危險(xiǎn)。這種方式既能夠保護(hù)用戶的安全，又避免了深夜對(duì)用戶的提醒，具有一定智能，同時(shí)保留了語(yǔ)音通話能力，不會(huì)使用戶失去通信聯(lián)系，是一種實(shí)用性較高的方案。

參考文獻(xiàn)

[1] LTE降級(jí)+GSM竊聽(tīng)攻擊實(shí)例“這下一無(wú)所有了”[EB/OL].https：//www.douban.com/group/topic/121312665/.

[2] “新技術(shù)詐騙讓不少人損失慘重！警方提醒注意以下問(wèn)題”[EB/OL].https：//baijiahao.baidu.com/s？id=1607948319082612267𝔴=spider&for;=pc.

[3] 網(wǎng)絡(luò)安全實(shí)踐指南——應(yīng)對(duì)截獲短信驗(yàn)證碼實(shí)施網(wǎng)絡(luò)身份假冒攻擊的技術(shù)指引[EB/OL].https：//www.tc260.org.cn/file/zn2.pdf.

[4] 3GPP TS 24.301 LTE Non-Access-Stratum（NAS）protocol for Evolved Packet System（EPS）Stage 3[EB/OL].http：//www.3gpp.org/ftp//Specs/archive/24_series/24.301/24301-f40.zip.

[5] 3GPP TS 24.008 GSM/UMTA/LTE Mobile radio interface Layer 3 specification Core network protocols Stage 3[EB/OL].http：//www.3gpp.org/ftp//Specs/archive/24_series/24.008/24008-f40.zip.