去年，11 個 5G 漏洞被研究人員發(fā)現(xiàn)的事，不少安全業(yè)內(nèi)人士表示被這個消息震驚。

原因在于，普渡大學(xué)與艾奧瓦大學(xué)安全研究人員發(fā)現(xiàn)的這些漏洞可被黑客利用對用戶進(jìn)行實(shí)時位置追蹤監(jiān)視、觸發(fā)緊急警報或神不知鬼不覺的讓 5G 手機(jī)掉線。

事實(shí)上，這些 5G 漏洞造成的影響還不止這些：可用于跟蹤受害者的實(shí)時位置，將受害者的服務(wù)降級到舊的移動數(shù)據(jù)網(wǎng)絡(luò)，增加流量耗費(fèi)，跟蹤受害者撥打的電話，發(fā)送的短信以及瀏覽的網(wǎng)絡(luò)記錄，影響 5G 連接的電話與網(wǎng)絡(luò)。

吃瓜群眾也懵了：“what，我還沒開始用呢，就出現(xiàn)這么多漏洞，這可怎么辦”？

但有矛就有盾，安全研究人員也不會放過這些漏洞的。

9 月 11 日，騰訊數(shù)字生態(tài)大會的 5G 專場上，騰訊安全科恩實(shí)驗(yàn)室專家研究員 Marco Grassi 帶來了關(guān)于 5G 安全的主題分享，并披露了實(shí)驗(yàn)室在 5G 安全方面最新的研究成果。

科恩實(shí)驗(yàn)室通過對 5G 基帶模塊漏洞的利用，遠(yuǎn)程改變了一臺 5G 手機(jī)的 IMEI 串號信息。據(jù)悉，科恩實(shí)驗(yàn)室是全球范圍內(nèi)第一個公開達(dá)成 5G 漏洞利用的團(tuán)隊(duì)。

會后，科恩實(shí)驗(yàn)室就此次研究成果接受了雷鋒網(wǎng)的采訪，一起來聽聽科恩實(shí)驗(yàn)室在研究 5G 漏洞利用背后的故事。

5G 漏洞利用研究有哪些亮點(diǎn)？

首先 ，我們先來看下科恩實(shí)驗(yàn)室是如何利用 5G 漏洞進(jìn)行攻擊的。

據(jù)騰訊安全科恩實(shí)驗(yàn)室專家安全研究員 Marco 介紹，他們首先自己搭建了一個基站，即 SDR （用來構(gòu)建移動網(wǎng)絡(luò)的設(shè)備），從 5G 基帶模塊的漏洞入手完成了完整漏洞利用，實(shí)現(xiàn)基帶處理器上的代碼執(zhí)行。利用這個漏洞，攻擊者可以進(jìn)行除了 IMEI 號篡改之外的更多惡意操作，例如數(shù)據(jù)竊取、電話攔截或者監(jiān)聽設(shè)備語音等。整個利用過程非常隱秘，從用戶角度完全察覺不到攻擊的發(fā)生。

目前，科恩實(shí)驗(yàn)室已經(jīng)將漏洞報告給廠商。

可能有童鞋還不知道 IMEI 是什么，先給大家科普下：

IMEI， International Mobile Station Equipment Identity，國際移動設(shè)備識別碼，俗稱“手機(jī)串號”、“手機(jī)串碼”、“手機(jī)序列號”，用于在移動網(wǎng)絡(luò)中識別每一部獨(dú)立的手機(jī)，相當(dāng)于手機(jī)的身份證號碼。IMEI 碼適用于GSM、WCDMA、LTE 制式的移動電話和衛(wèi)星電話。

全球每部通過正規(guī)渠道銷售的 GSM 手機(jī)均有唯一的 IMEI 碼。IMEI 碼由 GSMA 協(xié)會統(tǒng)一規(guī)劃，并授權(quán)各地區(qū)組織進(jìn)行分配，在中國由工業(yè)和信息化部電信終端測試技術(shù)協(xié)會（TAF）負(fù)責(zé)國內(nèi)手機(jī)的入網(wǎng)認(rèn)證，其他分配機(jī)構(gòu)包括英國 BABT、美國 CTIA 等。

IMEI 由 15 位數(shù)字組成，其組成為： IMEI = TAC + FAC + SNR + SP。

IMEI 碼具有唯一性，貼在手機(jī)背面的標(biāo)志上，并且讀寫于手機(jī)內(nèi)存中。它也是該手機(jī)在廠家的"檔案"和"身份證號"。

如果攻擊者要攻擊你的手機(jī)，首先就會從這里下手。

舉個例子，大家就明白了。

315 晚會上曾經(jīng)揭露過一系列 IMEI 克隆騙局。

如果你在不正規(guī)渠道購買了所謂的“二手 iPhone”的話，一旦運(yùn)氣不好碰到了奸商，那么你的手機(jī)隨時被遠(yuǎn)程鎖定，要么交錢解鎖，要么手機(jī)報廢。

據(jù) 315 晚會當(dāng)時的報道，市民張先生的一部 iPhone5S，被人遠(yuǎn)程鎖定，求救無門，遭解鎖人坐地漲價：張先生由于不甘心這么輕易地就妥協(xié)，于是嘗試了各種辦法，但都無果，最終只能交錢解鎖。

那么，如何避免此類攻擊呢？

騰訊安全科恩實(shí)驗(yàn)室高級安全研究員朱夢凡也給出了答案：

從廠商的角度來考慮，理論上找到這個漏洞，并且修復(fù)掉，當(dāng)然也可以添加各種漏洞緩解措施，去增加漏洞利用的難度。甚至可能讓這個漏洞無法利用。

如果漏洞被成功利用的話，理論上技術(shù)層面不能分辨這個終端是否是正常。所以整個的防御的思路應(yīng)該放在漏洞利用之前。比如說 5G 手機(jī)會著重強(qiáng)調(diào)對基站身份的驗(yàn)證。只要基站運(yùn)轉(zhuǎn)正常，基站本身是良性的，攻擊就很難，在一定程度上保證了一定的安全性。

這樣，我們也就很容易能理解科恩實(shí)驗(yàn)室這一研究成果的現(xiàn)實(shí)意義了。

5G 漏洞利用的現(xiàn)實(shí)意義

科恩實(shí)驗(yàn)室的這一研究的一個重大意義就在于，為 5G 安全排除了一份潛在的危險，如前文所述，這種攻擊幾乎是不露痕跡的，一旦攻擊者實(shí)施攻擊，用戶是無法感知的。但如果廠商和用戶知道了這一潛在風(fēng)險，就會在這個環(huán)節(jié)重視起來，避免發(fā)生不必要的危險。

另一方面，對于 5G 整體的發(fā)展來說，這一研究的意義也是很重要的。

Marco 介紹道，對于未來可能連?5G ?絡(luò)的終端設(shè)備和物聯(lián)?設(shè)備的數(shù)量，業(yè)界有不同的估計。不同的估計數(shù)字有所差異，但是它們基本都同意未來使? 5G ?絡(luò)的終端設(shè)備將達(dá)到數(shù)?億的規(guī)模，?使? 5G ?絡(luò)的物聯(lián)?設(shè)備更將是終端設(shè)備的 20 倍。 

問題的關(guān)鍵在于，為了使消費(fèi)者，包括我們的?戶可以享受到 5G ?絡(luò)技術(shù)帶來的便利，我們不僅要保證 5G ?絡(luò)的功能完好，同時也必須保證其是安全的。

騰訊安全科恩實(shí)驗(yàn)室高級安全研究員也表達(dá)了同樣的看法：

5G是國家發(fā)展新基建的重點(diǎn)之一，作為安全研究人員，我們能做的就是挖掘基帶芯片中的漏洞，以攻促防，提高其安全性。

這次研究，我們實(shí)現(xiàn)了基帶上的任意代碼執(zhí)行，這個效果從一個攻擊者的角度來說的話，已經(jīng)是基帶上的最高權(quán)限。如果想達(dá)到這一效果的話，通常是需要找到基帶上面的一些內(nèi)存破壞漏洞，通過構(gòu)造帶惡意數(shù)據(jù)劫持處理器的執(zhí)行流來進(jìn)行攻擊。

除此之外，科恩實(shí)驗(yàn)室也表示，下一步他們將會研究更多不同的廠商。期望未來發(fā)現(xiàn)更多非常高危的漏洞，幫助整個產(chǎn)業(yè)提升安全性。

科恩實(shí)驗(yàn)室什么來頭？

那說了這么多，騰訊科恩實(shí)驗(yàn)室究竟什么來頭？

根據(jù)其官網(wǎng)的介紹，騰訊科恩實(shí)驗(yàn)室(Keen Security Lab of Tencent)成立于 2016 年 1 月，專注于國際范圍內(nèi)主流操作系統(tǒng)、互聯(lián)網(wǎng)和移動互聯(lián)網(wǎng)應(yīng)用、云計算技術(shù)及物聯(lián)網(wǎng)設(shè)備的前沿安全攻防技術(shù)研究。其成員主要來自于 2014 年被騰訊收購的國際知名安全研究團(tuán)隊(duì)Keen Team。

科恩實(shí)驗(yàn)室把使命定義為“守護(hù)全網(wǎng)用戶的信息安全”，不僅研究移動端安全，還向物聯(lián)網(wǎng)、智能網(wǎng)聯(lián)汽車、IoT 安全、云計算等各個領(lǐng)域發(fā)力。 

從 2013 年開始，Pwn2Own 成為了這群極客的保留節(jié)目。2016 年，團(tuán)隊(duì)達(dá)到了前所未有的高度。在3 月的 Pwn2Own 大賽上，科恩實(shí)驗(yàn)室和騰訊電腦管家組成的聯(lián)合戰(zhàn)隊(duì) Sniper 一舉拿下了 Edge、Safari、Chrome，總分 38 分，以超越第二名13 分之多的優(yōu)勢摘得了“世界破解大師”。

不過最令大眾震驚的，還是那一次科恩實(shí)驗(yàn)室實(shí)現(xiàn)了全球首次“遠(yuǎn)程無物理接觸方式”入侵特斯拉汽車。

換言之，騰訊的研究人員坐在辦公室里，就能于千里之外，直接遙控別人的特斯拉汽車，理論上全球任何一輛特斯拉都跑不了。

在停車狀態(tài)下，可以遠(yuǎn)程解鎖車輛、打開天窗、轉(zhuǎn)向燈和調(diào)節(jié)座椅等，駕車時則可以啟動雨刷、收起后視鏡、打開后備箱等，而正常情況下的特斯拉在行駛中是無法打開后備箱和收起后視鏡的。

 更危險的是，遠(yuǎn)程剎車都可以做到，研究人員也展示了低速情況下的突然剎停，并且在剎車過程中，剎車燈不亮，車門卻處于解鎖狀態(tài)。 “愛玩”的他們甚至還讓特斯拉跟著音樂節(jié)奏來了一場車燈搖擺。

事后，科恩實(shí)驗(yàn)室將所有漏洞數(shù)據(jù)都交給了特斯拉官方。推動特斯拉快速修復(fù)了這些漏洞，保證車主的的安全。 

為了表彰科恩實(shí)驗(yàn)室的貢獻(xiàn)，他們還獲得了特斯拉官方的公開致謝和“漏洞獎金”。這一消息甚至驚動了馬斯克，他們收到了硅谷“鋼鐵俠”的親筆致謝信。

黑了別人的車，還拿到了獎狀和獎金，真是令人窒息的操作...

不過“黑車”這項(xiàng)技術(shù)，對于他們來說也是基本操作了，當(dāng)然也包括這次的 5G 漏洞利用研究。

雷鋒網(wǎng)雷鋒網(wǎng)雷鋒網(wǎng)

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。