幾天前，雷鋒網(wǎng)報道了 11 個 5G 漏洞被研究人員發(fā)現(xiàn)的事，不少安全業(yè)內(nèi)人士表示被這個消息震驚。

原因在于，普渡大學(xué)與艾奧瓦大學(xué)安全研究人員發(fā)現(xiàn)的這些漏洞可被黑客利用對用戶進(jìn)行實時位置追蹤監(jiān)視、觸發(fā)緊急警報或神不知鬼不覺的讓 5G 手機掉線。

事實上，這些 5G 漏洞造成的影響還不止這些：可用于跟蹤受害者的實時位置，將受害者的服務(wù)降級到舊的移動數(shù)據(jù)網(wǎng)絡(luò)，增加流量耗費，跟蹤受害者撥打的電話，發(fā)送的短信以及瀏覽的網(wǎng)絡(luò)記錄，影響 5G 連接的電話與網(wǎng)絡(luò)。

隨后，奇安信紅雨滴團(tuán)隊對此進(jìn)行了進(jìn)一步分析，他們提出：“結(jié)合此前我們編寫的《Sim卡及移動端核彈漏洞密集爆發(fā)：近期網(wǎng)絡(luò)戰(zhàn)頂級數(shù)字武器解析》https://mp.weixin.qq.com/s/IYirZdVfKnAFzAYXSkdvzw一文中提到的Sim卡漏洞攻擊被網(wǎng)軍利用兩年之久才被發(fā)現(xiàn)這一情況，而未來蜂窩移動通信技術(shù)也必將被網(wǎng)軍通過漏洞進(jìn)行間諜活動，這也是網(wǎng)絡(luò)對抗的必然之路。”

這樣一看，這些漏洞的危害可能就更大了。

以下文章轉(zhuǎn)載自奇安信，雷鋒網(wǎng)已獲授權(quán)。

隨之而來的新威脅

在對這一見證歷史的時刻表示激動的同時，在正在進(jìn)行中的2019年ACM SIGSAC計算機和通信安全會議(11.11-15)，來自普渡大學(xué)（Purdue University）和愛荷華大學(xué)（University of Iowa）的安全研究人員發(fā)現(xiàn)了11個5G漏洞，其中分別能夠造成以下不等的影響：

可用于跟蹤受害者的實時位置，

將受害者的服務(wù)降級到舊的移動數(shù)據(jù)網(wǎng)絡(luò)，

增加流量耗費

跟蹤受害者撥打的電話，發(fā)送的短信以及瀏覽的網(wǎng)絡(luò)記錄。

5G連接的電話與網(wǎng)絡(luò)。

更糟糕的是，研究人員說，一些新的攻擊也可能在現(xiàn)有的 3G 和 4G 網(wǎng)絡(luò)上被利用，大概有 5 個漏洞。而這些漏洞都統(tǒng)統(tǒng)被繼承到5G了。

負(fù)責(zé)這項研究的普渡大學(xué)移動安全研究員 Syed Rafiul Hussain 說：“開始這項工作時，我們有一種直覺，那就是還有更多的漏洞要尋找?！庇捎?4G 和 3G 的許多安全功能已被采用到 5G ，因此前幾代的漏洞很有可能也繼承到 5G 。此外，5G 的新功能可能尚未經(jīng)過嚴(yán)格的安全評估。因此，發(fā)現(xiàn)這些漏洞在他們的預(yù)期之內(nèi)。

5G 的好處是它可以保護(hù)電話標(biāo)識符，例如設(shè)備的“國際移動用戶身份”，以幫助防止跟蹤或針對性攻擊。但是，像研究人員發(fā)現(xiàn)的那樣的降級攻擊，便可以將設(shè)備降低到 4G 或使其進(jìn)入受限服務(wù)模式，然后強制其發(fā)送未加密的 IMSI 號碼。

網(wǎng)絡(luò)越來越多地使用稱為臨時移動用戶身份的替代 ID，該 ID 會定期刷新以進(jìn)行跟蹤。但是研究人員還發(fā)現(xiàn)了一些缺陷，這些缺陷可能使他們可以覆蓋 TMSI 重置，或者將舊設(shè)備和新 TMSI 關(guān)聯(lián)起來，以跟蹤設(shè)備。進(jìn)行這些攻擊僅需要花費數(shù)百美元的軟件無線電進(jìn)行捕獲。

概念科普：

在移動通信中，IMSI（International Mobile Subscriber Identity，國際移動用戶識別碼）用于在全球范圍唯一標(biāo)識一個移動用戶。IMSI保存在HLR、VLR和SIM卡中，可以在無線網(wǎng)絡(luò)及核心網(wǎng)絡(luò)中傳送。一個 IMSI 唯一標(biāo)識一個移動用戶，在全世界都是有效的。

為防止 IMSI 被攔截獲取，因此采用另外一種號碼臨時代替 IMSI 在網(wǎng)絡(luò)中進(jìn)行傳遞，即 TMSI（Temporary Mobile Subscriber Identity，臨時移動用戶標(biāo)識）。采用 TMSI 來臨時代替 IMSI 的目的為了加強系統(tǒng)的保密性，防止非法個人或團(tuán)體通過監(jiān)聽無線路徑上的信令竊取 IMSI 或跟蹤用戶的位置。

5GReasoner工具

在本章進(jìn)行之前，先普及一下概念。

5G 的網(wǎng)絡(luò)架構(gòu)主要包括 5G 接入網(wǎng)和 5G 核心網(wǎng),其中 NG-RAN 代表5 G?接入網(wǎng)，5GC 代表 5G 核心網(wǎng)。5G 接入網(wǎng)主要包含以下兩個節(jié)點：

gNB - 為5G網(wǎng)絡(luò)用戶提供 NR 的用戶平面和控制平面協(xié)議和功能

ng-eNB - 為4G網(wǎng)絡(luò)用戶提供 NR 的用戶平面和控制平面協(xié)議和功能 

其中 gNB 和 gNB 之間，gNB 和 ng-eNB 之間，ng-eNB 和 gNB 之間的接口都為 Xn 接口 。

下圖為 4G 到 5G 的演變：

回到原來的話題，研究人員加深他們此前發(fā)現(xiàn)，因此在 2019 年 3 月，也是他們的團(tuán)隊發(fā)現(xiàn)了同時影響 4G 和 5G 網(wǎng)絡(luò)的三大漏洞，分別為 Torpedo、Piercer 和 IMSI-Cracking 攻擊。

而現(xiàn)如今，他們構(gòu)建了一個名為5GReasoner的新工具，該工具用于發(fā)現(xiàn)了11個新的5G漏洞，而這些漏洞，都可以通過創(chuàng)建惡意的無線電基站，然后對用于監(jiān)視和破壞的目標(biāo)連接移動通信設(shè)備從而進(jìn)行多次攻擊。 

通過閱讀研究人員的論文，我們發(fā)現(xiàn)了一些攻擊細(xì)節(jié)。

在一次攻擊中，研究人員表示，他們能夠獲得受害者電話的新舊臨時網(wǎng)絡(luò)標(biāo)識符，即上面普及的 TMSI 。

從而使他們能夠發(fā)現(xiàn)尋呼時機，該尋呼時機可用于跟蹤電話的位置，甚至劫持尋呼信道進(jìn)行廣播虛假的緊急警報。研究人員說，這可能導(dǎo)致“人為混亂”，也就是會通過這個警報制止一些正常服務(wù)進(jìn)行，有點類似于中間人攻擊。（ 6月，科羅拉多大學(xué)博爾德分校的研究人員在 4G 協(xié)議中發(fā)現(xiàn)了類似的漏洞。）

此外，還有另一種攻擊會針對來自蜂窩網(wǎng)絡(luò)的目標(biāo)電話創(chuàng)建“長時間”拒絕服務(wù)攻擊。

在某些情況下，這些缺陷可能被用來將蜂窩連接降級為不太安全的標(biāo)準(zhǔn)，這使得執(zhí)法人員和有能力的黑客可以使用專業(yè)的“黃貂魚”設(shè)備對目標(biāo)發(fā)起監(jiān)視攻擊。

新論文的合著者之一賽德·拉菲爾·侯賽因（Syed Rafiul Hussain）表示，所有具有 4G 和 5G 網(wǎng)絡(luò)實踐知識并具有低成本軟件無線電的人都可以利用所有這些新攻擊。

5GReasoner 工具還在 5G 標(biāo)準(zhǔn)的一部分中發(fā)現(xiàn)了問題，該問題管理著諸如初始設(shè)備注冊，注銷和尋呼之類的事情，該問題會通知移動通信設(shè)備有關(guān)來電和短信的信息。根據(jù)運營商實施該標(biāo)準(zhǔn)的方式，攻擊者可以通過重復(fù)發(fā)送相同的消息或命令來發(fā)起“重放”攻擊，從而損耗目標(biāo)的移動賬單。這是 5G 標(biāo)準(zhǔn)措辭含糊不清的一個例子，可能會導(dǎo)致運營商在實施該標(biāo)準(zhǔn)時表現(xiàn)不佳，例如流量扣費不清晰，賬單異常等等。

5GReasoner工具架構(gòu)，就有很好的參考意義 。

下圖為安全研究人員通過5GReasoner工具發(fā)現(xiàn)的所有漏洞缺陷列表。

為幫助業(yè)界在蜂窩移動通信技術(shù)安全性研究更加順利，奇安信威脅情報中心大致將表格中提及的關(guān)鍵漏洞進(jìn)行了歸類，以方便同行從中獲取靈感。

1、Location Tracking

位置追蹤，即追蹤使用5G設(shè)備的當(dāng)前所處位置

2、Service profiling

服務(wù)分析，即顯示NAS序列號，5G NAS(Non-Standalone,非獨立組網(wǎng))。

3、Downgrade from 5G

從5G降級，便可以將設(shè)備降低到4G或使其進(jìn)入受限服務(wù)模式，然后強制其發(fā)送未加密的IMSI號碼。

4、Dos攻擊，分為StealthyDoS 隱形拒絕服務(wù)，Prolonged DoS長時間拒絕服務(wù)，DoS,重放攻擊可導(dǎo)致超額計費。

5、若尋呼消息中沒有完整性檢查，即可發(fā)送警告信息，從而導(dǎo)致網(wǎng)絡(luò)中斷等。

6、強制改變設(shè)備當(dāng)前狀態(tài)，導(dǎo)致電池電量耗盡

7、SUPI catching，即可SUPI捕獲，手機的真實身份在5G里稱為SUPI（SUbscriptionPermanent Identifier）（類似IMSI），通過公鑰加密后的密文稱為SUCI（SUbscription Concealed Identifier），SUCI傳送給基站后，基站直接上傳至核心網(wǎng)。

而在2G/3G/4G一直存在的IMSI Catcher問題，SUPI本是其解決方案，但照此看來，缺陷依然存在。 

因此由此表格便可大致對如今市面上常見的在蜂窩移動通信技術(shù)上所暴露的漏洞種類，其中若有表達(dá)不準(zhǔn)確的說法，歡迎留言交流。 

總結(jié) 

鑒于漏洞的性質(zhì)，研究人員表示，他們沒有計劃公開發(fā)布其概念驗證漏洞利用代碼。但是，研究人員將發(fā)現(xiàn)的結(jié)果通知了代表全球蜂窩網(wǎng)絡(luò)的貿(mào)易機構(gòu)GSM協(xié)會（GSMA）。

盡管研究人員被 GSMA的移動安全“成名堂”所認(rèn)可，但發(fā)言人克萊爾·克蘭頓（Claire Cranton）表示，這些漏洞在實際影響較小。GSMA沒有透露是否可以修復(fù)漏洞，也沒有透露修復(fù)時間。但他們表示，日后會對 5G 標(biāo)準(zhǔn)中一些措辭進(jìn)行改正。

但結(jié)合此前我們編寫的《Sim卡及移動端核彈漏洞密集爆發(fā)：近期網(wǎng)絡(luò)戰(zhàn)頂級數(shù)字武器解析》https://mp.weixin.qq.com/s/IYirZdVfKnAFzAYXSkdvzw一文中提到的Sim卡漏洞攻擊被網(wǎng)軍利用兩年之久才被發(fā)現(xiàn)這一情況，而未來蜂窩移動通信技術(shù)也必將被網(wǎng)軍通過漏洞進(jìn)行間諜活動，這也是網(wǎng)絡(luò)對抗的必然之路。

在這類“無聲”0day漏洞攻擊在網(wǎng)絡(luò)戰(zhàn)場中，作為情報刺探、目標(biāo)定位、資產(chǎn)探測等具有極其深遠(yuǎn)意義。

 

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。