去年，11 個 5G 漏洞被研究人員發(fā)現(xiàn)的事，不少安全業(yè)內(nèi)人士表示被這個消息震驚。

原因在于，普渡大學(xué)與艾奧瓦大學(xué)安全研究人員發(fā)現(xiàn)的這些漏洞可被黑客利用對用戶進(jìn)行實時位置追蹤監(jiān)視、觸發(fā)緊急警報或神不知鬼不覺的讓 5G 手機掉線。

事實上，這些 5G 漏洞造成的影響還不止這些：可用于跟蹤受害者的實時位置，將受害者的服務(wù)降級到舊的移動數(shù)據(jù)網(wǎng)絡(luò)，增加流量耗費，跟蹤受害者撥打的電話，發(fā)送的短信以及瀏覽的網(wǎng)絡(luò)記錄，影響 5G 連接的電話與網(wǎng)絡(luò)。

吃瓜群眾也懵了：“what，我還沒開始用呢，就出現(xiàn)這么多漏洞，這可怎么辦”？

但有矛就有盾，安全研究人員也不會放過這些漏洞的。

9 月 11 日，騰訊數(shù)字生態(tài)大會的 5G 專場上，騰訊安全科恩實驗室專家研究員 Marco Grassi 帶來了關(guān)于 5G 安全的主題分享，并披露了實驗室在 5G 安全方面最新的研究成果。

科恩實驗室通過對 5G 基帶模塊漏洞的利用，遠(yuǎn)程改變了一臺 5G 手機的 IMEI 串號信息。據(jù)悉，科恩實驗室是全球范圍內(nèi)第一個公開達(dá)成 5G 漏洞利用的團(tuán)隊。

會后，科恩實驗室就此次研究成果接受了雷鋒網(wǎng)的采訪，一起來聽聽科恩實驗室在研究 5G 漏洞利用背后的故事。

5G 漏洞利用研究有哪些亮點？

首先 ，我們先來看下科恩實驗室是如何利用 5G 漏洞進(jìn)行攻擊的。

據(jù)騰訊安全科恩實驗室專家安全研究員 Marco 介紹，他們首先自己搭建了一個基站，即 SDR （用來構(gòu)建移動網(wǎng)絡(luò)的設(shè)備），從 5G 基帶模塊的漏洞入手完成了完整漏洞利用，實現(xiàn)基帶處理器上的代碼執(zhí)行。利用這個漏洞，攻擊者可以進(jìn)行除了 IMEI 號篡改之外的更多惡意操作，例如數(shù)據(jù)竊取、電話攔截或者監(jiān)聽設(shè)備語音等。整個利用過程非常隱秘，從用戶角度完全察覺不到攻擊的發(fā)生。

目前，科恩實驗室已經(jīng)將漏洞報告給廠商。

可能有童鞋還不知道 IMEI 是什么，先給大家科普下：

IMEI， International Mobile Station Equipment Identity，國際移動設(shè)備識別碼，俗稱“手機串號”、“手機串碼”、“手機序列號”，用于在移動網(wǎng)絡(luò)中識別每一部獨立的手機，相當(dāng)于手機的身份證號碼。IMEI 碼適用于GSM、WCDMA、LTE 制式的移動電話和衛(wèi)星電話。

全球每部通過正規(guī)渠道銷售的 GSM 手機均有唯一的 IMEI 碼。IMEI 碼由 GSMA 協(xié)會統(tǒng)一規(guī)劃，并授權(quán)各地區(qū)組織進(jìn)行分配，在中國由工業(yè)和信息化部電信終端測試技術(shù)協(xié)會（TAF）負(fù)責(zé)國內(nèi)手機的入網(wǎng)認(rèn)證，其他分配機構(gòu)包括英國 BABT、美國 CTIA 等。

IMEI 由 15 位數(shù)字組成，其組成為： IMEI = TAC + FAC + SNR + SP。

IMEI 碼具有唯一性，貼在手機背面的標(biāo)志上，并且讀寫于手機內(nèi)存中。它也是該手機在廠家的"檔案"和"身份證號"。

如果攻擊者要攻擊你的手機，首先就會從這里下手。

舉個例子，大家就明白了。

315 晚會上曾經(jīng)揭露過一系列 IMEI 克隆騙局。

如果你在不正規(guī)渠道購買了所謂的“二手 iPhone”的話，一旦運氣不好碰到了奸商，那么你的手機隨時被遠(yuǎn)程鎖定，要么交錢解鎖，要么手機報廢。

據(jù) 315 晚會當(dāng)時的報道，市民張先生的一部 iPhone5S，被人遠(yuǎn)程鎖定，求救無門，遭解鎖人坐地漲價：張先生由于不甘心這么輕易地就妥協(xié)，于是嘗試了各種辦法，但都無果，最終只能交錢解鎖。

那么，如何避免此類攻擊呢？

騰訊安全科恩實驗室高級安全研究員朱夢凡也給出了答案：

從廠商的角度來考慮，理論上找到這個漏洞，并且修復(fù)掉，當(dāng)然也可以添加各種漏洞緩解措施，去增加漏洞利用的難度。甚至可能讓這個漏洞無法利用。

如果漏洞被成功利用的話，理論上技術(shù)層面不能分辨這個終端是否是正常。所以整個的防御的思路應(yīng)該放在漏洞利用之前。比如說 5G 手機會著重強調(diào)對基站身份的驗證。只要基站運轉(zhuǎn)正常，基站本身是良性的，攻擊就很難，在一定程度上保證了一定的安全性。

這樣，我們也就很容易能理解科恩實驗室這一研究成果的現(xiàn)實意義了。

5G 漏洞利用的現(xiàn)實意義

科恩實驗室的這一研究的一個重大意義就在于，為 5G 安全排除了一份潛在的危險，如前文所述，這種攻擊幾乎是不露痕跡的，一旦攻擊者實施攻擊，用戶是無法感知的。但如果廠商和用戶知道了這一潛在風(fēng)險，就會在這個環(huán)節(jié)重視起來，避免發(fā)生不必要的危險。

另一方面，對于 5G 整體的發(fā)展來說，這一研究的意義也是很重要的。

Marco 介紹道，對于未來可能連?5G ?絡(luò)的終端設(shè)備和物聯(lián)?設(shè)備的數(shù)量，業(yè)界有不同的估計。不同的估計數(shù)字有所差異，但是它們基本都同意未來使? 5G ?絡(luò)的終端設(shè)備將達(dá)到數(shù)?億的規(guī)模，?使? 5G ?絡(luò)的物聯(lián)?設(shè)備更將是終端設(shè)備的 20 倍。 

問題的關(guān)鍵在于，為了使消費者，包括我們的?戶可以享受到 5G ?絡(luò)技術(shù)帶來的便利，我們不僅要保證 5G ?絡(luò)的功能完好，同時也必須保證其是安全的。

騰訊安全科恩實驗室高級安全研究員也表達(dá)了同樣的看法：

5G是國家發(fā)展新基建的重點之一，作為安全研究人員，我們能做的就是挖掘基帶芯片中的漏洞，以攻促防，提高其安全性。

這次研究，我們實現(xiàn)了基帶上的任意代碼執(zhí)行，這個效果從一個攻擊者的角度來說的話，已經(jīng)是基帶上的最高權(quán)限。如果想達(dá)到這一效果的話，通常是需要找到基帶上面的一些內(nèi)存破壞漏洞，通過構(gòu)造帶惡意數(shù)據(jù)劫持處理器的執(zhí)行流來進(jìn)行攻擊。

除此之外，科恩實驗室也表示，下一步他們將會研究更多不同的廠商。期望未來發(fā)現(xiàn)更多非常高危的漏洞，幫助整個產(chǎn)業(yè)提升安全性。

科恩實驗室什么來頭？

那說了這么多，騰訊科恩實驗室究竟什么來頭？

根據(jù)其官網(wǎng)的介紹，騰訊科恩實驗室(Keen Security Lab of Tencent)成立于 2016 年 1 月，專注于國際范圍內(nèi)主流操作系統(tǒng)、互聯(lián)網(wǎng)和移動互聯(lián)網(wǎng)應(yīng)用、云計算技術(shù)及物聯(lián)網(wǎng)設(shè)備的前沿安全攻防技術(shù)研究。其成員主要來自于 2014 年被騰訊收購的國際知名安全研究團(tuán)隊Keen Team。

科恩實驗室把使命定義為“守護(hù)全網(wǎng)用戶的信息安全”，不僅研究移動端安全，還向物聯(lián)網(wǎng)、智能網(wǎng)聯(lián)汽車、IoT 安全、云計算等各個領(lǐng)域發(fā)力。 

從 2013 年開始，Pwn2Own 成為了這群極客的保留節(jié)目。2016 年，團(tuán)隊達(dá)到了前所未有的高度。在3 月的 Pwn2Own 大賽上，科恩實驗室和騰訊電腦管家組成的聯(lián)合戰(zhàn)隊 Sniper 一舉拿下了 Edge、Safari、Chrome，總分 38 分，以超越第二名13 分之多的優(yōu)勢摘得了“世界破解大師”。

不過最令大眾震驚的，還是那一次科恩實驗室實現(xiàn)了全球首次“遠(yuǎn)程無物理接觸方式”入侵特斯拉汽車。

換言之，騰訊的研究人員坐在辦公室里，就能于千里之外，直接遙控別人的特斯拉汽車，理論上全球任何一輛特斯拉都跑不了。

在停車狀態(tài)下，可以遠(yuǎn)程解鎖車輛、打開天窗、轉(zhuǎn)向燈和調(diào)節(jié)座椅等，駕車時則可以啟動雨刷、收起后視鏡、打開后備箱等，而正常情況下的特斯拉在行駛中是無法打開后備箱和收起后視鏡的。

 更危險的是，遠(yuǎn)程剎車都可以做到，研究人員也展示了低速情況下的突然剎停，并且在剎車過程中，剎車燈不亮，車門卻處于解鎖狀態(tài)。 “愛玩”的他們甚至還讓特斯拉跟著音樂節(jié)奏來了一場車燈搖擺。

事后，科恩實驗室將所有漏洞數(shù)據(jù)都交給了特斯拉官方。推動特斯拉快速修復(fù)了這些漏洞，保證車主的的安全。 

為了表彰科恩實驗室的貢獻(xiàn)，他們還獲得了特斯拉官方的公開致謝和“漏洞獎金”。這一消息甚至驚動了馬斯克，他們收到了硅谷“鋼鐵俠”的親筆致謝信。

黑了別人的車，還拿到了獎狀和獎金，真是令人窒息的操作...

不過“黑車”這項技術(shù)，對于他們來說也是基本操作了，當(dāng)然也包括這次的 5G 漏洞利用研究。

雷鋒網(wǎng)雷鋒網(wǎng)雷鋒網(wǎng)

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。