幾天前，雷鋒網(wǎng)報(bào)道了 11 個(gè) 5G 漏洞被研究人員發(fā)現(xiàn)的事，不少安全業(yè)內(nèi)人士表示被這個(gè)消息震驚。

原因在于，普渡大學(xué)與艾奧瓦大學(xué)安全研究人員發(fā)現(xiàn)的這些漏洞可被黑客利用對(duì)用戶(hù)進(jìn)行實(shí)時(shí)位置追蹤監(jiān)視、觸發(fā)緊急警報(bào)或神不知鬼不覺(jué)的讓 5G 手機(jī)掉線(xiàn)。

事實(shí)上，這些 5G 漏洞造成的影響還不止這些：可用于跟蹤受害者的實(shí)時(shí)位置，將受害者的服務(wù)降級(jí)到舊的移動(dòng)數(shù)據(jù)網(wǎng)絡(luò)，增加流量耗費(fèi)，跟蹤受害者撥打的電話(huà)，發(fā)送的短信以及瀏覽的網(wǎng)絡(luò)記錄，影響 5G 連接的電話(huà)與網(wǎng)絡(luò)。

隨后，奇安信紅雨滴團(tuán)隊(duì)對(duì)此進(jìn)行了進(jìn)一步分析，他們提出：“結(jié)合此前我們編寫(xiě)的《Sim卡及移動(dòng)端核彈漏洞密集爆發(fā)：近期網(wǎng)絡(luò)戰(zhàn)頂級(jí)數(shù)字武器解析》https://mp.weixin.qq.com/s/IYirZdVfKnAFzAYXSkdvzw一文中提到的Sim卡漏洞攻擊被網(wǎng)軍利用兩年之久才被發(fā)現(xiàn)這一情況，而未來(lái)蜂窩移動(dòng)通信技術(shù)也必將被網(wǎng)軍通過(guò)漏洞進(jìn)行間諜活動(dòng)，這也是網(wǎng)絡(luò)對(duì)抗的必然之路?！?/span>

這樣一看，這些漏洞的危害可能就更大了。

以下文章轉(zhuǎn)載自奇安信，雷鋒網(wǎng)已獲授權(quán)。

隨之而來(lái)的新威脅

在對(duì)這一見(jiàn)證歷史的時(shí)刻表示激動(dòng)的同時(shí)，在正在進(jìn)行中的2019年ACM SIGSAC計(jì)算機(jī)和通信安全會(huì)議(11.11-15)，來(lái)自普渡大學(xué)（Purdue University）和愛(ài)荷華大學(xué)（University of Iowa）的安全研究人員發(fā)現(xiàn)了11個(gè)5G漏洞，其中分別能夠造成以下不等的影響：

可用于跟蹤受害者的實(shí)時(shí)位置，

將受害者的服務(wù)降級(jí)到舊的移動(dòng)數(shù)據(jù)網(wǎng)絡(luò)，

增加流量耗費(fèi)

跟蹤受害者撥打的電話(huà)，發(fā)送的短信以及瀏覽的網(wǎng)絡(luò)記錄。

5G連接的電話(huà)與網(wǎng)絡(luò)。

更糟糕的是，研究人員說(shuō)，一些新的攻擊也可能在現(xiàn)有的 3G 和 4G 網(wǎng)絡(luò)上被利用，大概有 5 個(gè)漏洞。而這些漏洞都統(tǒng)統(tǒng)被繼承到5G了。

負(fù)責(zé)這項(xiàng)研究的普渡大學(xué)移動(dòng)安全研究員 Syed Rafiul Hussain 說(shuō)：“開(kāi)始這項(xiàng)工作時(shí)，我們有一種直覺(jué)，那就是還有更多的漏洞要尋找?！庇捎?4G 和 3G 的許多安全功能已被采用到 5G ，因此前幾代的漏洞很有可能也繼承到 5G 。此外，5G 的新功能可能尚未經(jīng)過(guò)嚴(yán)格的安全評(píng)估。因此，發(fā)現(xiàn)這些漏洞在他們的預(yù)期之內(nèi)。

5G 的好處是它可以保護(hù)電話(huà)標(biāo)識(shí)符，例如設(shè)備的“國(guó)際移動(dòng)用戶(hù)身份”，以幫助防止跟蹤或針對(duì)性攻擊。但是，像研究人員發(fā)現(xiàn)的那樣的降級(jí)攻擊，便可以將設(shè)備降低到 4G 或使其進(jìn)入受限服務(wù)模式，然后強(qiáng)制其發(fā)送未加密的 IMSI 號(hào)碼。

網(wǎng)絡(luò)越來(lái)越多地使用稱(chēng)為臨時(shí)移動(dòng)用戶(hù)身份的替代 ID，該 ID 會(huì)定期刷新以進(jìn)行跟蹤。但是研究人員還發(fā)現(xiàn)了一些缺陷，這些缺陷可能使他們可以覆蓋 TMSI 重置，或者將舊設(shè)備和新 TMSI 關(guān)聯(lián)起來(lái)，以跟蹤設(shè)備。進(jìn)行這些攻擊僅需要花費(fèi)數(shù)百美元的軟件無(wú)線(xiàn)電進(jìn)行捕獲。

概念科普：

在移動(dòng)通信中，IMSI（International Mobile Subscriber Identity，國(guó)際移動(dòng)用戶(hù)識(shí)別碼）用于在全球范圍唯一標(biāo)識(shí)一個(gè)移動(dòng)用戶(hù)。IMSI保存在HLR、VLR和SIM卡中，可以在無(wú)線(xiàn)網(wǎng)絡(luò)及核心網(wǎng)絡(luò)中傳送。一個(gè) IMSI 唯一標(biāo)識(shí)一個(gè)移動(dòng)用戶(hù)，在全世界都是有效的。

為防止 IMSI 被攔截獲取，因此采用另外一種號(hào)碼臨時(shí)代替 IMSI 在網(wǎng)絡(luò)中進(jìn)行傳遞，即 TMSI（Temporary Mobile Subscriber Identity，臨時(shí)移動(dòng)用戶(hù)標(biāo)識(shí)）。采用 TMSI 來(lái)臨時(shí)代替 IMSI 的目的為了加強(qiáng)系統(tǒng)的保密性，防止非法個(gè)人或團(tuán)體通過(guò)監(jiān)聽(tīng)無(wú)線(xiàn)路徑上的信令竊取 IMSI 或跟蹤用戶(hù)的位置。

5GReasoner工具

在本章進(jìn)行之前，先普及一下概念。

5G 的網(wǎng)絡(luò)架構(gòu)主要包括 5G 接入網(wǎng)和 5G 核心網(wǎng),其中 NG-RAN 代表5 G?接入網(wǎng)，5GC 代表 5G 核心網(wǎng)。5G 接入網(wǎng)主要包含以下兩個(gè)節(jié)點(diǎn)：

gNB - 為5G網(wǎng)絡(luò)用戶(hù)提供 NR 的用戶(hù)平面和控制平面協(xié)議和功能

ng-eNB - 為4G網(wǎng)絡(luò)用戶(hù)提供 NR 的用戶(hù)平面和控制平面協(xié)議和功能 

其中 gNB 和 gNB 之間，gNB 和 ng-eNB 之間，ng-eNB 和 gNB 之間的接口都為 Xn 接口 。

下圖為 4G 到 5G 的演變：

回到原來(lái)的話(huà)題，研究人員加深他們此前發(fā)現(xiàn)，因此在 2019 年 3 月，也是他們的團(tuán)隊(duì)發(fā)現(xiàn)了同時(shí)影響 4G 和 5G 網(wǎng)絡(luò)的三大漏洞，分別為 Torpedo、Piercer 和 IMSI-Cracking 攻擊。

而現(xiàn)如今，他們構(gòu)建了一個(gè)名為5GReasoner的新工具，該工具用于發(fā)現(xiàn)了11個(gè)新的5G漏洞，而這些漏洞，都可以通過(guò)創(chuàng)建惡意的無(wú)線(xiàn)電基站，然后對(duì)用于監(jiān)視和破壞的目標(biāo)連接移動(dòng)通信設(shè)備從而進(jìn)行多次攻擊。 

通過(guò)閱讀研究人員的論文，我們發(fā)現(xiàn)了一些攻擊細(xì)節(jié)。

在一次攻擊中，研究人員表示，他們能夠獲得受害者電話(huà)的新舊臨時(shí)網(wǎng)絡(luò)標(biāo)識(shí)符，即上面普及的 TMSI 。

從而使他們能夠發(fā)現(xiàn)尋呼時(shí)機(jī)，該尋呼時(shí)機(jī)可用于跟蹤電話(huà)的位置，甚至劫持尋呼信道進(jìn)行廣播虛假的緊急警報(bào)。研究人員說(shuō)，這可能導(dǎo)致“人為混亂”，也就是會(huì)通過(guò)這個(gè)警報(bào)制止一些正常服務(wù)進(jìn)行，有點(diǎn)類(lèi)似于中間人攻擊。（ 6月，科羅拉多大學(xué)博爾德分校的研究人員在 4G 協(xié)議中發(fā)現(xiàn)了類(lèi)似的漏洞。）

此外，還有另一種攻擊會(huì)針對(duì)來(lái)自蜂窩網(wǎng)絡(luò)的目標(biāo)電話(huà)創(chuàng)建“長(zhǎng)時(shí)間”拒絕服務(wù)攻擊。

在某些情況下，這些缺陷可能被用來(lái)將蜂窩連接降級(jí)為不太安全的標(biāo)準(zhǔn)，這使得執(zhí)法人員和有能力的黑客可以使用專(zhuān)業(yè)的“黃貂魚(yú)”設(shè)備對(duì)目標(biāo)發(fā)起監(jiān)視攻擊。

新論文的合著者之一賽德·拉菲爾·侯賽因（Syed Rafiul Hussain）表示，所有具有 4G 和 5G 網(wǎng)絡(luò)實(shí)踐知識(shí)并具有低成本軟件無(wú)線(xiàn)電的人都可以利用所有這些新攻擊。

5GReasoner 工具還在 5G 標(biāo)準(zhǔn)的一部分中發(fā)現(xiàn)了問(wèn)題，該問(wèn)題管理著諸如初始設(shè)備注冊(cè)，注銷(xiāo)和尋呼之類(lèi)的事情，該問(wèn)題會(huì)通知移動(dòng)通信設(shè)備有關(guān)來(lái)電和短信的信息。根據(jù)運(yùn)營(yíng)商實(shí)施該標(biāo)準(zhǔn)的方式，攻擊者可以通過(guò)重復(fù)發(fā)送相同的消息或命令來(lái)發(fā)起“重放”攻擊，從而損耗目標(biāo)的移動(dòng)賬單。這是 5G 標(biāo)準(zhǔn)措辭含糊不清的一個(gè)例子，可能會(huì)導(dǎo)致運(yùn)營(yíng)商在實(shí)施該標(biāo)準(zhǔn)時(shí)表現(xiàn)不佳，例如流量扣費(fèi)不清晰，賬單異常等等。

5GReasoner工具架構(gòu)，就有很好的參考意義 。

下圖為安全研究人員通過(guò)5GReasoner工具發(fā)現(xiàn)的所有漏洞缺陷列表。

為幫助業(yè)界在蜂窩移動(dòng)通信技術(shù)安全性研究更加順利，奇安信威脅情報(bào)中心大致將表格中提及的關(guān)鍵漏洞進(jìn)行了歸類(lèi)，以方便同行從中獲取靈感。

1、Location Tracking

位置追蹤，即追蹤使用5G設(shè)備的當(dāng)前所處位置

2、Service profiling

服務(wù)分析，即顯示NAS序列號(hào)，5G NAS(Non-Standalone,非獨(dú)立組網(wǎng))。

3、Downgrade from 5G

從5G降級(jí)，便可以將設(shè)備降低到4G或使其進(jìn)入受限服務(wù)模式，然后強(qiáng)制其發(fā)送未加密的IMSI號(hào)碼。

4、Dos攻擊，分為StealthyDoS 隱形拒絕服務(wù)，Prolonged DoS長(zhǎng)時(shí)間拒絕服務(wù)，DoS,重放攻擊可導(dǎo)致超額計(jì)費(fèi)。

5、若尋呼消息中沒(méi)有完整性檢查，即可發(fā)送警告信息，從而導(dǎo)致網(wǎng)絡(luò)中斷等。

6、強(qiáng)制改變?cè)O(shè)備當(dāng)前狀態(tài)，導(dǎo)致電池電量耗盡

7、SUPI catching，即可SUPI捕獲，手機(jī)的真實(shí)身份在5G里稱(chēng)為SUPI（SUbscriptionPermanent Identifier）（類(lèi)似IMSI），通過(guò)公鑰加密后的密文稱(chēng)為SUCI（SUbscription Concealed Identifier），SUCI傳送給基站后，基站直接上傳至核心網(wǎng)。

而在2G/3G/4G一直存在的IMSI Catcher問(wèn)題，SUPI本是其解決方案，但照此看來(lái)，缺陷依然存在。 

因此由此表格便可大致對(duì)如今市面上常見(jiàn)的在蜂窩移動(dòng)通信技術(shù)上所暴露的漏洞種類(lèi)，其中若有表達(dá)不準(zhǔn)確的說(shuō)法，歡迎留言交流。 

總結(jié) 

鑒于漏洞的性質(zhì)，研究人員表示，他們沒(méi)有計(jì)劃公開(kāi)發(fā)布其概念驗(yàn)證漏洞利用代碼。但是，研究人員將發(fā)現(xiàn)的結(jié)果通知了代表全球蜂窩網(wǎng)絡(luò)的貿(mào)易機(jī)構(gòu)GSM協(xié)會(huì)（GSMA）。

盡管研究人員被 GSMA的移動(dòng)安全“成名堂”所認(rèn)可，但發(fā)言人克萊爾·克蘭頓（Claire Cranton）表示，這些漏洞在實(shí)際影響較小。GSMA沒(méi)有透露是否可以修復(fù)漏洞，也沒(méi)有透露修復(fù)時(shí)間。但他們表示，日后會(huì)對(duì) 5G 標(biāo)準(zhǔn)中一些措辭進(jìn)行改正。

但結(jié)合此前我們編寫(xiě)的《Sim卡及移動(dòng)端核彈漏洞密集爆發(fā)：近期網(wǎng)絡(luò)戰(zhàn)頂級(jí)數(shù)字武器解析》https://mp.weixin.qq.com/s/IYirZdVfKnAFzAYXSkdvzw一文中提到的Sim卡漏洞攻擊被網(wǎng)軍利用兩年之久才被發(fā)現(xiàn)這一情況，而未來(lái)蜂窩移動(dòng)通信技術(shù)也必將被網(wǎng)軍通過(guò)漏洞進(jìn)行間諜活動(dòng)，這也是網(wǎng)絡(luò)對(duì)抗的必然之路。

在這類(lèi)“無(wú)聲”0day漏洞攻擊在網(wǎng)絡(luò)戰(zhàn)場(chǎng)中，作為情報(bào)刺探、目標(biāo)定位、資產(chǎn)探測(cè)等具有極其深遠(yuǎn)意義。

 

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。