去年，11 個(gè) 5G 漏洞被研究人員發(fā)現(xiàn)的事，不少安全業(yè)內(nèi)人士表示被這個(gè)消息震驚。

原因在于，普渡大學(xué)與艾奧瓦大學(xué)安全研究人員發(fā)現(xiàn)的這些漏洞可被黑客利用對(duì)用戶進(jìn)行實(shí)時(shí)位置追蹤監(jiān)視、觸發(fā)緊急警報(bào)或神不知鬼不覺(jué)的讓 5G 手機(jī)掉線。

事實(shí)上，這些 5G 漏洞造成的影響還不止這些：可用于跟蹤受害者的實(shí)時(shí)位置，將受害者的服務(wù)降級(jí)到舊的移動(dòng)數(shù)據(jù)網(wǎng)絡(luò)，增加流量耗費(fèi)，跟蹤受害者撥打的電話，發(fā)送的短信以及瀏覽的網(wǎng)絡(luò)記錄，影響 5G 連接的電話與網(wǎng)絡(luò)。

吃瓜群眾也懵了：“what，我還沒(méi)開(kāi)始用呢，就出現(xiàn)這么多漏洞，這可怎么辦”？

但有矛就有盾，安全研究人員也不會(huì)放過(guò)這些漏洞的。

9 月 11 日，騰訊數(shù)字生態(tài)大會(huì)的 5G 專場(chǎng)上，騰訊安全科恩實(shí)驗(yàn)室專家研究員 Marco Grassi 帶來(lái)了關(guān)于 5G 安全的主題分享，并披露了實(shí)驗(yàn)室在 5G 安全方面最新的研究成果。

科恩實(shí)驗(yàn)室通過(guò)對(duì) 5G 基帶模塊漏洞的利用，遠(yuǎn)程改變了一臺(tái) 5G 手機(jī)的 IMEI 串號(hào)信息。據(jù)悉，科恩實(shí)驗(yàn)室是全球范圍內(nèi)第一個(gè)公開(kāi)達(dá)成 5G 漏洞利用的團(tuán)隊(duì)。

會(huì)后，科恩實(shí)驗(yàn)室就此次研究成果接受了雷鋒網(wǎng)的采訪，一起來(lái)聽(tīng)聽(tīng)科恩實(shí)驗(yàn)室在研究 5G 漏洞利用背后的故事。

5G 漏洞利用研究有哪些亮點(diǎn)？

首先 ，我們先來(lái)看下科恩實(shí)驗(yàn)室是如何利用 5G 漏洞進(jìn)行攻擊的。

據(jù)騰訊安全科恩實(shí)驗(yàn)室專家安全研究員 Marco 介紹，他們首先自己搭建了一個(gè)基站，即 SDR （用來(lái)構(gòu)建移動(dòng)網(wǎng)絡(luò)的設(shè)備），從 5G 基帶模塊的漏洞入手完成了完整漏洞利用，實(shí)現(xiàn)基帶處理器上的代碼執(zhí)行。利用這個(gè)漏洞，攻擊者可以進(jìn)行除了 IMEI 號(hào)篡改之外的更多惡意操作，例如數(shù)據(jù)竊取、電話攔截或者監(jiān)聽(tīng)設(shè)備語(yǔ)音等。整個(gè)利用過(guò)程非常隱秘，從用戶角度完全察覺(jué)不到攻擊的發(fā)生。

目前，科恩實(shí)驗(yàn)室已經(jīng)將漏洞報(bào)告給廠商。

可能有童鞋還不知道 IMEI 是什么，先給大家科普下：

IMEI， International Mobile Station Equipment Identity，國(guó)際移動(dòng)設(shè)備識(shí)別碼，俗稱“手機(jī)串號(hào)”、“手機(jī)串碼”、“手機(jī)序列號(hào)”，用于在移動(dòng)網(wǎng)絡(luò)中識(shí)別每一部獨(dú)立的手機(jī)，相當(dāng)于手機(jī)的身份證號(hào)碼。IMEI 碼適用于GSM、WCDMA、LTE 制式的移動(dòng)電話和衛(wèi)星電話。

全球每部通過(guò)正規(guī)渠道銷售的 GSM 手機(jī)均有唯一的 IMEI 碼。IMEI 碼由 GSMA 協(xié)會(huì)統(tǒng)一規(guī)劃，并授權(quán)各地區(qū)組織進(jìn)行分配，在中國(guó)由工業(yè)和信息化部電信終端測(cè)試技術(shù)協(xié)會(huì)（TAF）負(fù)責(zé)國(guó)內(nèi)手機(jī)的入網(wǎng)認(rèn)證，其他分配機(jī)構(gòu)包括英國(guó) BABT、美國(guó) CTIA 等。

IMEI 由 15 位數(shù)字組成，其組成為： IMEI = TAC + FAC + SNR + SP。

IMEI 碼具有唯一性，貼在手機(jī)背面的標(biāo)志上，并且讀寫于手機(jī)內(nèi)存中。它也是該手機(jī)在廠家的"檔案"和"身份證號(hào)"。

如果攻擊者要攻擊你的手機(jī)，首先就會(huì)從這里下手。

舉個(gè)例子，大家就明白了。

315 晚會(huì)上曾經(jīng)揭露過(guò)一系列 IMEI 克隆騙局。

如果你在不正規(guī)渠道購(gòu)買了所謂的“二手 iPhone”的話，一旦運(yùn)氣不好碰到了奸商，那么你的手機(jī)隨時(shí)被遠(yuǎn)程鎖定，要么交錢解鎖，要么手機(jī)報(bào)廢。

據(jù) 315 晚會(huì)當(dāng)時(shí)的報(bào)道，市民張先生的一部 iPhone5S，被人遠(yuǎn)程鎖定，求救無(wú)門，遭解鎖人坐地漲價(jià)：張先生由于不甘心這么輕易地就妥協(xié)，于是嘗試了各種辦法，但都無(wú)果，最終只能交錢解鎖。

那么，如何避免此類攻擊呢？

騰訊安全科恩實(shí)驗(yàn)室高級(jí)安全研究員朱夢(mèng)凡也給出了答案：

從廠商的角度來(lái)考慮，理論上找到這個(gè)漏洞，并且修復(fù)掉，當(dāng)然也可以添加各種漏洞緩解措施，去增加漏洞利用的難度。甚至可能讓這個(gè)漏洞無(wú)法利用。

如果漏洞被成功利用的話，理論上技術(shù)層面不能分辨這個(gè)終端是否是正常。所以整個(gè)的防御的思路應(yīng)該放在漏洞利用之前。比如說(shuō) 5G 手機(jī)會(huì)著重強(qiáng)調(diào)對(duì)基站身份的驗(yàn)證。只要基站運(yùn)轉(zhuǎn)正常，基站本身是良性的，攻擊就很難，在一定程度上保證了一定的安全性。

這樣，我們也就很容易能理解科恩實(shí)驗(yàn)室這一研究成果的現(xiàn)實(shí)意義了。

5G 漏洞利用的現(xiàn)實(shí)意義

科恩實(shí)驗(yàn)室的這一研究的一個(gè)重大意義就在于，為 5G 安全排除了一份潛在的危險(xiǎn)，如前文所述，這種攻擊幾乎是不露痕跡的，一旦攻擊者實(shí)施攻擊，用戶是無(wú)法感知的。但如果廠商和用戶知道了這一潛在風(fēng)險(xiǎn)，就會(huì)在這個(gè)環(huán)節(jié)重視起來(lái)，避免發(fā)生不必要的危險(xiǎn)。

另一方面，對(duì)于 5G 整體的發(fā)展來(lái)說(shuō)，這一研究的意義也是很重要的。

Marco 介紹道，對(duì)于未來(lái)可能連?5G ?絡(luò)的終端設(shè)備和物聯(lián)?設(shè)備的數(shù)量，業(yè)界有不同的估計(jì)。不同的估計(jì)數(shù)字有所差異，但是它們基本都同意未來(lái)使? 5G ?絡(luò)的終端設(shè)備將達(dá)到數(shù)?億的規(guī)模，?使? 5G ?絡(luò)的物聯(lián)?設(shè)備更將是終端設(shè)備的 20 倍。 

問(wèn)題的關(guān)鍵在于，為了使消費(fèi)者，包括我們的?戶可以享受到 5G ?絡(luò)技術(shù)帶來(lái)的便利，我們不僅要保證 5G ?絡(luò)的功能完好，同時(shí)也必須保證其是安全的。

騰訊安全科恩實(shí)驗(yàn)室高級(jí)安全研究員也表達(dá)了同樣的看法：

5G是國(guó)家發(fā)展新基建的重點(diǎn)之一，作為安全研究人員，我們能做的就是挖掘基帶芯片中的漏洞，以攻促防，提高其安全性。

這次研究，我們實(shí)現(xiàn)了基帶上的任意代碼執(zhí)行，這個(gè)效果從一個(gè)攻擊者的角度來(lái)說(shuō)的話，已經(jīng)是基帶上的最高權(quán)限。如果想達(dá)到這一效果的話，通常是需要找到基帶上面的一些內(nèi)存破壞漏洞，通過(guò)構(gòu)造帶惡意數(shù)據(jù)劫持處理器的執(zhí)行流來(lái)進(jìn)行攻擊。

除此之外，科恩實(shí)驗(yàn)室也表示，下一步他們將會(huì)研究更多不同的廠商。期望未來(lái)發(fā)現(xiàn)更多非常高危的漏洞，幫助整個(gè)產(chǎn)業(yè)提升安全性。

科恩實(shí)驗(yàn)室什么來(lái)頭？

那說(shuō)了這么多，騰訊科恩實(shí)驗(yàn)室究竟什么來(lái)頭？

根據(jù)其官網(wǎng)的介紹，騰訊科恩實(shí)驗(yàn)室(Keen Security Lab of Tencent)成立于 2016 年 1 月，專注于國(guó)際范圍內(nèi)主流操作系統(tǒng)、互聯(lián)網(wǎng)和移動(dòng)互聯(lián)網(wǎng)應(yīng)用、云計(jì)算技術(shù)及物聯(lián)網(wǎng)設(shè)備的前沿安全攻防技術(shù)研究。其成員主要來(lái)自于 2014 年被騰訊收購(gòu)的國(guó)際知名安全研究團(tuán)隊(duì)Keen Team。

科恩實(shí)驗(yàn)室把使命定義為“守護(hù)全網(wǎng)用戶的信息安全”，不僅研究移動(dòng)端安全，還向物聯(lián)網(wǎng)、智能網(wǎng)聯(lián)汽車、IoT 安全、云計(jì)算等各個(gè)領(lǐng)域發(fā)力。 

從 2013 年開(kāi)始，Pwn2Own 成為了這群極客的保留節(jié)目。2016 年，團(tuán)隊(duì)達(dá)到了前所未有的高度。在3 月的 Pwn2Own 大賽上，科恩實(shí)驗(yàn)室和騰訊電腦管家組成的聯(lián)合戰(zhàn)隊(duì) Sniper 一舉拿下了 Edge、Safari、Chrome，總分 38 分，以超越第二名13 分之多的優(yōu)勢(shì)摘得了“世界破解大師”。

不過(guò)最令大眾震驚的，還是那一次科恩實(shí)驗(yàn)室實(shí)現(xiàn)了全球首次“遠(yuǎn)程無(wú)物理接觸方式”入侵特斯拉汽車。

換言之，騰訊的研究人員坐在辦公室里，就能于千里之外，直接遙控別人的特斯拉汽車，理論上全球任何一輛特斯拉都跑不了。

在停車狀態(tài)下，可以遠(yuǎn)程解鎖車輛、打開(kāi)天窗、轉(zhuǎn)向燈和調(diào)節(jié)座椅等，駕車時(shí)則可以啟動(dòng)雨刷、收起后視鏡、打開(kāi)后備箱等，而正常情況下的特斯拉在行駛中是無(wú)法打開(kāi)后備箱和收起后視鏡的。

 更危險(xiǎn)的是，遠(yuǎn)程剎車都可以做到，研究人員也展示了低速情況下的突然剎停，并且在剎車過(guò)程中，剎車燈不亮，車門卻處于解鎖狀態(tài)。 “愛(ài)玩”的他們甚至還讓特斯拉跟著音樂(lè)節(jié)奏來(lái)了一場(chǎng)車燈搖擺。

事后，科恩實(shí)驗(yàn)室將所有漏洞數(shù)據(jù)都交給了特斯拉官方。推動(dòng)特斯拉快速修復(fù)了這些漏洞，保證車主的的安全。 

為了表彰科恩實(shí)驗(yàn)室的貢獻(xiàn)，他們還獲得了特斯拉官方的公開(kāi)致謝和“漏洞獎(jiǎng)金”。這一消息甚至驚動(dòng)了馬斯克，他們收到了硅谷“鋼鐵俠”的親筆致謝信。

黑了別人的車，還拿到了獎(jiǎng)狀和獎(jiǎng)金，真是令人窒息的操作...

不過(guò)“黑車”這項(xiàng)技術(shù)，對(duì)于他們來(lái)說(shuō)也是基本操作了，當(dāng)然也包括這次的 5G 漏洞利用研究。

雷鋒網(wǎng)雷鋒網(wǎng)雷鋒網(wǎng)

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。