幾天前，雷鋒網(wǎng)報道了 11 個 5G 漏洞被研究人員發(fā)現(xiàn)的事，不少安全業(yè)內(nèi)人士表示被這個消息震驚。

原因在于，普渡大學與艾奧瓦大學安全研究人員發(fā)現(xiàn)的這些漏洞可被黑客利用對用戶進行實時位置追蹤監(jiān)視、觸發(fā)緊急警報或神不知鬼不覺的讓 5G 手機掉線。

事實上，這些 5G 漏洞造成的影響還不止這些：可用于跟蹤受害者的實時位置，將受害者的服務降級到舊的移動數(shù)據(jù)網(wǎng)絡，增加流量耗費，跟蹤受害者撥打的電話，發(fā)送的短信以及瀏覽的網(wǎng)絡記錄，影響 5G 連接的電話與網(wǎng)絡。

隨后，奇安信紅雨滴團隊對此進行了進一步分析，他們提出：“結合此前我們編寫的《Sim卡及移動端核彈漏洞密集爆發(fā)：近期網(wǎng)絡戰(zhàn)頂級數(shù)字武器解析》https://mp.weixin.qq.com/s/IYirZdVfKnAFzAYXSkdvzw一文中提到的Sim卡漏洞攻擊被網(wǎng)軍利用兩年之久才被發(fā)現(xiàn)這一情況，而未來蜂窩移動通信技術也必將被網(wǎng)軍通過漏洞進行間諜活動，這也是網(wǎng)絡對抗的必然之路?！?/span>

這樣一看，這些漏洞的危害可能就更大了。

以下文章轉載自奇安信，雷鋒網(wǎng)已獲授權。

隨之而來的新威脅

在對這一見證歷史的時刻表示激動的同時，在正在進行中的2019年ACM SIGSAC計算機和通信安全會議(11.11-15)，來自普渡大學（Purdue University）和愛荷華大學（University of Iowa）的安全研究人員發(fā)現(xiàn)了11個5G漏洞，其中分別能夠造成以下不等的影響：

可用于跟蹤受害者的實時位置，

將受害者的服務降級到舊的移動數(shù)據(jù)網(wǎng)絡，

增加流量耗費

跟蹤受害者撥打的電話，發(fā)送的短信以及瀏覽的網(wǎng)絡記錄。

5G連接的電話與網(wǎng)絡。

更糟糕的是，研究人員說，一些新的攻擊也可能在現(xiàn)有的 3G 和 4G 網(wǎng)絡上被利用，大概有 5 個漏洞。而這些漏洞都統(tǒng)統(tǒng)被繼承到5G了。

負責這項研究的普渡大學移動安全研究員 Syed Rafiul Hussain 說：“開始這項工作時，我們有一種直覺，那就是還有更多的漏洞要尋找?！庇捎?4G 和 3G 的許多安全功能已被采用到 5G ，因此前幾代的漏洞很有可能也繼承到 5G 。此外，5G 的新功能可能尚未經(jīng)過嚴格的安全評估。因此，發(fā)現(xiàn)這些漏洞在他們的預期之內(nèi)。

5G 的好處是它可以保護電話標識符，例如設備的“國際移動用戶身份”，以幫助防止跟蹤或針對性攻擊。但是，像研究人員發(fā)現(xiàn)的那樣的降級攻擊，便可以將設備降低到 4G 或使其進入受限服務模式，然后強制其發(fā)送未加密的 IMSI 號碼。

網(wǎng)絡越來越多地使用稱為臨時移動用戶身份的替代 ID，該 ID 會定期刷新以進行跟蹤。但是研究人員還發(fā)現(xiàn)了一些缺陷，這些缺陷可能使他們可以覆蓋 TMSI 重置，或者將舊設備和新 TMSI 關聯(lián)起來，以跟蹤設備。進行這些攻擊僅需要花費數(shù)百美元的軟件無線電進行捕獲。

概念科普：

在移動通信中，IMSI（International Mobile Subscriber Identity，國際移動用戶識別碼）用于在全球范圍唯一標識一個移動用戶。IMSI保存在HLR、VLR和SIM卡中，可以在無線網(wǎng)絡及核心網(wǎng)絡中傳送。一個 IMSI 唯一標識一個移動用戶，在全世界都是有效的。

為防止 IMSI 被攔截獲取，因此采用另外一種號碼臨時代替 IMSI 在網(wǎng)絡中進行傳遞，即 TMSI（Temporary Mobile Subscriber Identity，臨時移動用戶標識）。采用 TMSI 來臨時代替 IMSI 的目的為了加強系統(tǒng)的保密性，防止非法個人或團體通過監(jiān)聽無線路徑上的信令竊取 IMSI 或跟蹤用戶的位置。

5GReasoner工具

在本章進行之前，先普及一下概念。

5G 的網(wǎng)絡架構主要包括 5G 接入網(wǎng)和 5G 核心網(wǎng),其中 NG-RAN 代表5 G?接入網(wǎng)，5GC 代表 5G 核心網(wǎng)。5G 接入網(wǎng)主要包含以下兩個節(jié)點：

gNB - 為5G網(wǎng)絡用戶提供 NR 的用戶平面和控制平面協(xié)議和功能

ng-eNB - 為4G網(wǎng)絡用戶提供 NR 的用戶平面和控制平面協(xié)議和功能 

其中 gNB 和 gNB 之間，gNB 和 ng-eNB 之間，ng-eNB 和 gNB 之間的接口都為 Xn 接口 。

下圖為 4G 到 5G 的演變：

回到原來的話題，研究人員加深他們此前發(fā)現(xiàn)，因此在 2019 年 3 月，也是他們的團隊發(fā)現(xiàn)了同時影響 4G 和 5G 網(wǎng)絡的三大漏洞，分別為 Torpedo、Piercer 和 IMSI-Cracking 攻擊。

而現(xiàn)如今，他們構建了一個名為5GReasoner的新工具，該工具用于發(fā)現(xiàn)了11個新的5G漏洞，而這些漏洞，都可以通過創(chuàng)建惡意的無線電基站，然后對用于監(jiān)視和破壞的目標連接移動通信設備從而進行多次攻擊。 

通過閱讀研究人員的論文，我們發(fā)現(xiàn)了一些攻擊細節(jié)。

在一次攻擊中，研究人員表示，他們能夠獲得受害者電話的新舊臨時網(wǎng)絡標識符，即上面普及的 TMSI 。

從而使他們能夠發(fā)現(xiàn)尋呼時機，該尋呼時機可用于跟蹤電話的位置，甚至劫持尋呼信道進行廣播虛假的緊急警報。研究人員說，這可能導致“人為混亂”，也就是會通過這個警報制止一些正常服務進行，有點類似于中間人攻擊。（ 6月，科羅拉多大學博爾德分校的研究人員在 4G 協(xié)議中發(fā)現(xiàn)了類似的漏洞。）

此外，還有另一種攻擊會針對來自蜂窩網(wǎng)絡的目標電話創(chuàng)建“長時間”拒絕服務攻擊。

在某些情況下，這些缺陷可能被用來將蜂窩連接降級為不太安全的標準，這使得執(zhí)法人員和有能力的黑客可以使用專業(yè)的“黃貂魚”設備對目標發(fā)起監(jiān)視攻擊。

新論文的合著者之一賽德·拉菲爾·侯賽因（Syed Rafiul Hussain）表示，所有具有 4G 和 5G 網(wǎng)絡實踐知識并具有低成本軟件無線電的人都可以利用所有這些新攻擊。

5GReasoner 工具還在 5G 標準的一部分中發(fā)現(xiàn)了問題，該問題管理著諸如初始設備注冊，注銷和尋呼之類的事情，該問題會通知移動通信設備有關來電和短信的信息。根據(jù)運營商實施該標準的方式，攻擊者可以通過重復發(fā)送相同的消息或命令來發(fā)起“重放”攻擊，從而損耗目標的移動賬單。這是 5G 標準措辭含糊不清的一個例子，可能會導致運營商在實施該標準時表現(xiàn)不佳，例如流量扣費不清晰，賬單異常等等。

5GReasoner工具架構，就有很好的參考意義 。

下圖為安全研究人員通過5GReasoner工具發(fā)現(xiàn)的所有漏洞缺陷列表。

為幫助業(yè)界在蜂窩移動通信技術安全性研究更加順利，奇安信威脅情報中心大致將表格中提及的關鍵漏洞進行了歸類，以方便同行從中獲取靈感。

1、Location Tracking

位置追蹤，即追蹤使用5G設備的當前所處位置

2、Service profiling

服務分析，即顯示NAS序列號，5G NAS(Non-Standalone,非獨立組網(wǎng))。

3、Downgrade from 5G

從5G降級，便可以將設備降低到4G或使其進入受限服務模式，然后強制其發(fā)送未加密的IMSI號碼。

4、Dos攻擊，分為StealthyDoS 隱形拒絕服務，Prolonged DoS長時間拒絕服務，DoS,重放攻擊可導致超額計費。

5、若尋呼消息中沒有完整性檢查，即可發(fā)送警告信息，從而導致網(wǎng)絡中斷等。

6、強制改變設備當前狀態(tài)，導致電池電量耗盡

7、SUPI catching，即可SUPI捕獲，手機的真實身份在5G里稱為SUPI（SUbscriptionPermanent Identifier）（類似IMSI），通過公鑰加密后的密文稱為SUCI（SUbscription Concealed Identifier），SUCI傳送給基站后，基站直接上傳至核心網(wǎng)。

而在2G/3G/4G一直存在的IMSI Catcher問題，SUPI本是其解決方案，但照此看來，缺陷依然存在。 

因此由此表格便可大致對如今市面上常見的在蜂窩移動通信技術上所暴露的漏洞種類，其中若有表達不準確的說法，歡迎留言交流。 

總結 

鑒于漏洞的性質(zhì)，研究人員表示，他們沒有計劃公開發(fā)布其概念驗證漏洞利用代碼。但是，研究人員將發(fā)現(xiàn)的結果通知了代表全球蜂窩網(wǎng)絡的貿(mào)易機構GSM協(xié)會（GSMA）。

盡管研究人員被 GSMA的移動安全“成名堂”所認可，但發(fā)言人克萊爾·克蘭頓（Claire Cranton）表示，這些漏洞在實際影響較小。GSMA沒有透露是否可以修復漏洞，也沒有透露修復時間。但他們表示，日后會對 5G 標準中一些措辭進行改正。

但結合此前我們編寫的《Sim卡及移動端核彈漏洞密集爆發(fā)：近期網(wǎng)絡戰(zhàn)頂級數(shù)字武器解析》https://mp.weixin.qq.com/s/IYirZdVfKnAFzAYXSkdvzw一文中提到的Sim卡漏洞攻擊被網(wǎng)軍利用兩年之久才被發(fā)現(xiàn)這一情況，而未來蜂窩移動通信技術也必將被網(wǎng)軍通過漏洞進行間諜活動，這也是網(wǎng)絡對抗的必然之路。

在這類“無聲”0day漏洞攻擊在網(wǎng)絡戰(zhàn)場中，作為情報刺探、目標定位、資產(chǎn)探測等具有極其深遠意義。

 

雷峰網(wǎng)版權文章，未經(jīng)授權禁止轉載。詳情見轉載須知。