這次公開(kāi)課請(qǐng)來(lái)的嘉賓對(duì)自己的簡(jiǎn)介是：

連續(xù)創(chuàng)業(yè)失敗的創(chuàng)業(yè)導(dǎo)師；

偽天使投資人；

某非知名私立大學(xué)創(chuàng)辦人兼校長(zhǎng)；

業(yè)余時(shí)間在本校通信安全實(shí)驗(yàn)室打雜。

自從他在黑客大會(huì)上演講《偽基站高級(jí)利用技術(shù)——徹底攻破短信驗(yàn)證碼》后，黑產(chǎn)就盯上了這項(xiàng)技術(shù)。他們給能仿制這項(xiàng)攻擊方法的人開(kāi)價(jià)保底一個(gè)月 200 萬(wàn)元，外加分成。

這個(gè)攻擊方法其實(shí)1秒鐘可以血洗很多個(gè)銀行賬號(hào)。他說(shuō)，保守估計(jì)一小時(shí)能帶來(lái) 7000 萬(wàn)元的黑產(chǎn)產(chǎn)值。但是，他并不是為了錢(qián)。他的原話(huà)是：“短信驗(yàn)證碼這種安全機(jī)制朽而不倒，我想把它推倒！”

他就是雷鋒網(wǎng)宅客頻道（微信ID：letshome）此前曾報(bào)道過(guò)的黑客 Seeker 。上次，Seeker 覺(jué)得自己和雷鋒網(wǎng)聊了太多“花邊八卦”，這次公開(kāi)課，他決定好好聊聊“純技術(shù)”（開(kāi)玩笑！依然不會(huì)放過(guò)你的八卦） ，談?wù)勅绾卫?nbsp;LTE／4G 偽基站＋GSM 中間人攻擊攻破所有短信驗(yàn)證，以及應(yīng)對(duì)攻略。

嘉賓介紹

Seeker，中國(guó)海天集團(tuán)有限公司創(chuàng)始人兼CEO，IT老兵，網(wǎng)絡(luò)安全專(zhuān)家，1994年起創(chuàng)業(yè)，幾經(jīng)起伏，至今仍在路上，主業(yè)是開(kāi)辦私立大學(xué)，研發(fā)互聯(lián)網(wǎng)和網(wǎng)絡(luò)安全類(lèi)產(chǎn)品，提供IT技術(shù)培訓(xùn)和咨詢(xún)服務(wù)。Seeker對(duì)新技術(shù)非常敏感，13歲開(kāi)始編程，初中開(kāi)始玩無(wú)線(xiàn)電通信，之后一直保持在網(wǎng)絡(luò)安全和無(wú)線(xiàn)通信領(lǐng)域的研究興趣。

問(wèn)答精華回顧

1. 首先請(qǐng)Seeker老師進(jìn)行簡(jiǎn)單的自我介紹。

Seeker：我是一個(gè)連續(xù)創(chuàng)業(yè)者，1994年大學(xué)畢業(yè)，當(dāng)年在北京中關(guān)村創(chuàng)辦第一家公司，從此一直在創(chuàng)業(yè)路上，創(chuàng)業(yè)方向主要是IT、互聯(lián)網(wǎng)和教育，業(yè)務(wù)幾經(jīng)起落和調(diào)整，目前公司業(yè)務(wù)主要是開(kāi)辦私立大學(xué)，研發(fā)互聯(lián)網(wǎng)和網(wǎng)絡(luò)安全類(lèi)產(chǎn)品，提供IT技術(shù)培訓(xùn)和咨詢(xún)服務(wù)。

我一直對(duì)新技術(shù)、新管理理念、新創(chuàng)業(yè)方法等懷有濃厚興趣，也追蹤很多科技領(lǐng)域的發(fā)展，算是個(gè)意識(shí)領(lǐng)先、比較新潮的技術(shù)派。13歲開(kāi)始編程，初中開(kāi)始玩無(wú)線(xiàn)電通信，是電腦神童和少年HAM，之后一直保持在網(wǎng)絡(luò)安全和無(wú)線(xiàn)通信領(lǐng)域的研究興趣。工作的原因，我主要活躍在教育圈、創(chuàng)業(yè)圈和投資圈，但是業(yè)余時(shí)間，我大部分用于網(wǎng)絡(luò)安全和無(wú)線(xiàn)通信領(lǐng)域的研究。

2. 為了不招來(lái)警察蜀黍，請(qǐng)?jiān)诤戏ǖ幕A(chǔ)上詳細(xì)介紹一下LTE重定向+GSM中間人攻擊的方法。

Seeker：我實(shí)現(xiàn)的這種攻擊方法，能夠證明短信驗(yàn)證碼這種安全認(rèn)證機(jī)制可被輕易突破，理應(yīng)盡快放棄并使用更安全的認(rèn)證機(jī)制。

先簡(jiǎn)單說(shuō)說(shuō)原理：攻擊者可通過(guò)架設(shè) LTE 偽基站吸引目標(biāo) LTE 手機(jī)前來(lái)附著（Attach），在附著過(guò)程中通過(guò) RRC 重定向信令將該手機(jī)重定向到攻擊者預(yù)先架設(shè)的惡意網(wǎng)絡(luò)，通常是 GSM 偽基站，然后攻擊者用另一部手機(jī)作為攻擊手機(jī)，以目標(biāo)手機(jī)的身份在運(yùn)營(yíng)商現(xiàn)網(wǎng)注冊(cè)，從而在現(xiàn)網(wǎng)擁有目標(biāo)手機(jī)的全部身份，能夠以目標(biāo)手機(jī)的身份接打電話(huà)、收發(fā)短信，這就是所謂 GSM 中間人攻擊。這種攻擊方法能夠攔截掉發(fā)給目標(biāo)手機(jī)的所有短信，因此可以攻破以短信驗(yàn)證碼作為身份認(rèn)證機(jī)制的任何網(wǎng)絡(luò)服務(wù)，包括手機(jī)銀行和手機(jī)支付系統(tǒng)。

需要說(shuō)明的是，LTE RRC 重定向，不止可以對(duì)接 GSM 偽基站，還可以對(duì)接 CDMA 偽基站，以及破解過(guò)的 3G、4G Femto Cell，同樣可以實(shí)現(xiàn)中間人攻擊。即使對(duì)接 GSM，某些情況下也可以不架設(shè)偽基站，直接對(duì)接現(xiàn)網(wǎng) GSM 基站，然后使用半主動(dòng)式方式來(lái)攔截短信，不用中間人攻擊也達(dá)到同樣的短信攔截效果。

LTE 重定向+ GSM 中間人攻擊的適用范圍廣，破壞性強(qiáng)。范圍廣，是通過(guò)LTE重定向攻擊來(lái)實(shí)現(xiàn)的，因?yàn)長(zhǎng)TE 偽基站覆蓋范圍內(nèi)的 95% 以上的 LTE 手機(jī)會(huì)受影響。破壞性強(qiáng)，是通過(guò)中間人攻擊這種形式，等于手機(jī)的電話(huà)短信的全部控制權(quán)在機(jī)主無(wú)法察覺(jué)的情況下轉(zhuǎn)到了攻擊者手里，不止可以攔截短信驗(yàn)證碼，還可以組合出花樣繁多的各種利用方法。

LTE重定向攻擊的首次公開(kāi)，是在今年5月出版的由 360 Unicorn Team 合著的新書(shū)《無(wú)線(xiàn)電安全攻防大揭秘》中簡(jiǎn)短提到，而在在國(guó)際上的第一次公開(kāi)展示，是在 5 月底阿姆斯特丹的 HITB 上，由 360 Unicorn Team 的黃琳博士完成的。黃琳演示了一部中國(guó)聯(lián)通的 iPhone 手機(jī)，被 LTE 偽基站重定向到 GSM 偽基站，驗(yàn)證了 LTE 重定向攻擊的可能性。所以，我并不是第一個(gè)發(fā)現(xiàn)這個(gè) LTE 可利用漏洞的人。

GSM 中間人攻擊的歷史更悠久，我既不是第一個(gè)發(fā)現(xiàn)的人，也不是第一個(gè)實(shí)現(xiàn)這種攻擊方法的人。

GSM 中間人攻擊在國(guó)內(nèi) 2～3 年前就有黑產(chǎn)應(yīng)用，最常見(jiàn)的就是號(hào)碼采集系統(tǒng)，用來(lái)采集某位置附近的 GSM 手機(jī)號(hào)碼，通過(guò) GSM 偽基站+攻擊手機(jī)劫持附近的 GSM 手機(jī)用戶(hù)的身份去撥打一個(gè)特定電話(huà)號(hào)碼，然后匯總該號(hào)碼上的未接來(lái)電。這樣在該位置附近經(jīng)過(guò)的人的手機(jī)號(hào)碼就不知不覺(jué)的泄露了。還有的黑產(chǎn)在劫持手機(jī)用戶(hù)身份后發(fā)短信訂閱某些SP服務(wù)，因?yàn)橛忻黠@的費(fèi)用產(chǎn)生，用戶(hù)容易察覺(jué)到。更隱蔽的做法是用來(lái)刷單，拿到手機(jī)號(hào)碼后短時(shí)間保持身份劫持狀態(tài)以攔截短信，然后迅速的完成網(wǎng)絡(luò)用戶(hù)注冊(cè)開(kāi)戶(hù)或者某些敏感操作的短信確認(rèn)，就可以實(shí)現(xiàn)批量自動(dòng)注冊(cè)用戶(hù)和刷單了。還有今年發(fā)現(xiàn)的在國(guó)際機(jī)場(chǎng)附近劫持手機(jī)身份，然后在國(guó)外運(yùn)營(yíng)商網(wǎng)絡(luò)里撥打主叫高付費(fèi)電話(huà)的利用方式，就更惡性了。

我發(fā)現(xiàn)理論上可以把 LTE 重定向攻擊和 GSM 中間人攻擊這兩者組合起來(lái)，形成一個(gè)廣泛適用的，威力強(qiáng)大的攻擊工具。以我對(duì)黑產(chǎn)的觀(guān)察，這種工具遲早被黑產(chǎn)研發(fā)出來(lái)并加以利用。電信協(xié)議漏洞的時(shí)效性非常長(zhǎng)，因?yàn)樾枰疹櫖F(xiàn)存的幾十億部手機(jī)終端。電信協(xié)議漏洞一旦被黑產(chǎn)利用，危害將廣泛而持久。我個(gè)人預(yù)測(cè)，黑產(chǎn)將首先瞄準(zhǔn)短信驗(yàn)證碼這種已被證明不安全的認(rèn)證機(jī)制，并先從手機(jī)銀行和手機(jī)支付系統(tǒng)入手。各金融機(jī)構(gòu)和網(wǎng)絡(luò)服務(wù)商應(yīng)充分警醒，早做準(zhǔn)備，畢竟部署另一套身份認(rèn)證系統(tǒng)需要不少時(shí)間。為了證明這種攻擊不只理論上成立，而且很快會(huì)真實(shí)出現(xiàn)，讓業(yè)界盡早放棄短信驗(yàn)證碼，我編程實(shí)現(xiàn)了這種攻擊組合，并在 8 月的 KCon 黑客大會(huì)上做了演講《偽基站高級(jí)利用技術(shù)——徹底攻破短信驗(yàn)證碼》。今天這次公開(kāi)課，也是基于同樣目的，就是再推一把短信驗(yàn)證碼這個(gè)朽而不倒，很不容易推倒的認(rèn)證機(jī)制，并提出替代解決方案。

遵循負(fù)責(zé)任披露（Responsible Disclosure）模式，我不會(huì)對(duì)外發(fā)布攻擊源代碼和實(shí)現(xiàn)的具體細(xì)節(jié)，避免被黑產(chǎn)從業(yè)者利用。但是我仍會(huì)披露足夠多的信息，使各金融機(jī)構(gòu)和網(wǎng)絡(luò)服務(wù)商能充分重視，了解到安全威脅的嚴(yán)重性并準(zhǔn)備替代解決方案。

以上是背景信息，下面進(jìn)入正題。以下內(nèi)容假設(shè)群友已初步了解 GSM 和 LTE 的基礎(chǔ)知識(shí)。

LTE RRC重定向在現(xiàn)網(wǎng)中頻繁使用，多見(jiàn)于LTE手機(jī)接打電話(huà)時(shí)的電路域回落（CSFB），是指LTE系統(tǒng)通過(guò) RRCConnectionRelease 消息中的 redirectedCarrierInfo 指示手機(jī)／用戶(hù)設(shè)備（UE）在離開(kāi)連接態(tài)后要嘗試駐留到指定的系統(tǒng)/頻點(diǎn)。UE會(huì)先釋放掉當(dāng)前連接，然后重定向到指示的頻點(diǎn)重新建立連接。

LTE RRC 重定向攻擊的原理：LTE 偽基站吸引 LTE 手機(jī)前來(lái)附著，在收到手機(jī)發(fā)來(lái)附著請(qǐng)求（Attach Request）之后，安全流程啟動(dòng)之前，直接下發(fā)NAS消息拒絕附著（Attach Reject），緊接著下發(fā) RRCConnectionRelease 消息，該消息攜帶 redirectedCarrierInfo 信息，指示手機(jī)關(guān)閉當(dāng)前連接，然后轉(zhuǎn)到攻擊者指示的網(wǎng)絡(luò)（2G／3G／4G）和頻點(diǎn)（ARFCN），通常是預(yù)先架設(shè)好的惡意網(wǎng)絡(luò)，去建立連接，從而方便攻擊者實(shí)施下一步攻擊。

LTE RRC 重定向攻擊成立的原因：LTE 下手機(jī)（UE）和基站（eNodeB）應(yīng)該是雙向認(rèn)證的，按理說(shuō)不應(yīng)該出現(xiàn)未認(rèn)證基站真?zhèn)?，就?tīng)從基站指令的情況。3GPP制定協(xié)議標(biāo)準(zhǔn)時(shí)，應(yīng)該是在可用性和安全性不可兼得的情況下選擇了可用性，放棄了安全性，即考慮發(fā)生緊急情況、突發(fā)事件時(shí)可能產(chǎn)生大量手機(jī)業(yè)務(wù)請(qǐng)求，網(wǎng)絡(luò)可用性對(duì)于保證生命、財(cái)產(chǎn)安全至關(guān)重要，需要能及時(shí)調(diào)度網(wǎng)絡(luò)請(qǐng)求，轉(zhuǎn)移壓力，這時(shí)候大量的鑒權(quán)、加密、完整性檢查等安全措施可能導(dǎo)致網(wǎng)絡(luò)瓶頸，因此被全部舍棄。

LTE 偽基站的搭建：硬件：高性能PC、bladeRF(或USRP B2x0)、天饋系統(tǒng)；軟件：Ubuntu Linux、OpenAirInterface。相比 OpenLTE，OAI 的代碼要成熟穩(wěn)定的多，而且同時(shí)支持 TDD 和 FDD LTE 。

LTE RRC重定向攻擊的編程實(shí)現(xiàn)：OAI（OpenAirInterface）代碼中定義了 R8 和 R9 的 RRCConnectionRelase, 但是沒(méi)有調(diào)用邏輯; 需要修改 MME 和 eNodeB 的代碼,增加相應(yīng)邏輯。

下面介紹 GSM 中間人攻擊的原理：在目標(biāo) GSM 手機(jī)和運(yùn)營(yíng)商 GSM 基站之間插入一臺(tái)GSM偽基站和一部GSM攻擊手機(jī)。在目標(biāo)附近啟動(dòng)偽基站，誘使目標(biāo)手機(jī)來(lái)駐留（Camping），同時(shí)調(diào)用攻擊手機(jī)去附著（Attach）現(xiàn)網(wǎng)的運(yùn)營(yíng)商基站，如果現(xiàn)網(wǎng)要求鑒權(quán)，就把鑒權(quán)請(qǐng)求（Authentication Request）通過(guò)偽基站發(fā)給目標(biāo)手機(jī)，目標(biāo)手機(jī)返回鑒權(quán)響應(yīng) ( Authentication Response ) 給偽基站后，該鑒權(quán)響應(yīng)先傳給攻擊手機(jī)，攻擊手機(jī)再轉(zhuǎn)發(fā)給現(xiàn)網(wǎng)，最后鑒權(quán)完成，攻擊手機(jī)就以目標(biāo)手機(jī)的身份成功注冊(cè)在現(xiàn)網(wǎng)上了。之后收發(fā)短信或接打電話(huà)時(shí)，如果現(xiàn)網(wǎng)不要求鑒權(quán)，就可以由攻擊手機(jī)直接完成，如果需要鑒權(quán)，就再次調(diào)用偽基站向目標(biāo)手機(jī)發(fā)起鑒權(quán)請(qǐng)求，之后把收到的鑒權(quán)響應(yīng)轉(zhuǎn)發(fā)給現(xiàn)網(wǎng)的運(yùn)營(yíng)商基站。

GSM 偽基站的搭建：硬件：普通 PC、USRP B2X0 + 天線(xiàn)（或Motorola C118／C139 + CP2102）。軟件：Ubuntu Linux、OpenBSC。OpenBSC：由Osmocom發(fā)起并維護(hù)的一套高性能、接口開(kāi)放的開(kāi)源GSM／GPRS基站系統(tǒng)。

GSM 攻擊手機(jī)的搭建：硬件：普通PC、Motorola C118／C139 + CP2102。軟件：Ubuntu Linux、OsmocomBB。OsmocomBB：基于一套泄露的手機(jī)基帶源代碼重寫(xiě)的開(kāi)源的GSM基帶項(xiàng)目，只能支持TI Calypso基帶處理器。被用來(lái)參考的那套泄露源代碼不完整，只有90+%的源代碼，部分連接庫(kù)沒(méi)有源代碼，而且也缺少DSP的代碼。OsmocomBB 被設(shè)計(jì)成黑客的實(shí)驗(yàn)工具，而不是供普通用戶(hù)使用的手機(jī)系統(tǒng)，其Layer 2和3是在PC上運(yùn)行的，方便黑客編寫(xiě)和修改代碼，實(shí)現(xiàn)自己的某些功能。

GSM 中間人（MITM）攻擊的編程實(shí)現(xiàn)（OpenBSC）：實(shí)現(xiàn)偽基站的基本功能；將附著手機(jī)的IMSI發(fā)給MITM攻擊手機(jī)；接收來(lái)自攻擊手機(jī)的鑒權(quán)請(qǐng)求,并向目標(biāo)手機(jī)發(fā)起網(wǎng)絡(luò)鑒權(quán)；將從目標(biāo)手機(jī)接收到的鑒權(quán)響應(yīng)發(fā)回給攻擊手機(jī)。

GSM 中間人（MITM）攻擊的編程實(shí)現(xiàn)（OsmocomBB）：接收偽基站發(fā)來(lái)的 IMSI ；以此 IMSI 向?qū)?yīng)運(yùn)營(yíng)商網(wǎng)絡(luò)發(fā)起位置更新（Location Update）請(qǐng)求；如果運(yùn)營(yíng)商網(wǎng)絡(luò)要求鑒權(quán)，則將收到的鑒權(quán)請(qǐng)求發(fā)給偽基站；接收偽基站發(fā)回的鑒權(quán)響應(yīng)，轉(zhuǎn)發(fā)給運(yùn)營(yíng)商網(wǎng)絡(luò)，完成鑒權(quán)；開(kāi)始使用仿冒身份執(zhí)行攻擊向量：接收/發(fā)送短信, 撥打/接聽(tīng)電話(huà)。如果某個(gè)操作需要鑒權(quán)，則重復(fù)之前的鑒權(quán)流程。

LTE RRC 重定向攻擊的運(yùn)行截圖：

GSM MITM 攻擊的運(yùn)行截圖：

黑產(chǎn)可能的利用方式（輕量級(jí)）：背包、小功率、小范圍。每次影響少數(shù)幾人，屬于針對(duì)性攻擊。

圖中的 USRP B200mini 用來(lái)實(shí)現(xiàn)LTE偽基站，一部 Motorola C139 用來(lái)實(shí)現(xiàn) GSM 偽基站，一部 Motorola C118 用來(lái)實(shí)現(xiàn)攻擊手機(jī)。

黑產(chǎn)可能的利用方式（普通）：架高／車(chē)載／背包、大功率、大范圍。影響很多人，屬于無(wú)差別攻擊。LTE 偽基站將能覆蓋半徑 300 米內(nèi) 95% 的LTE手機(jī)，峰值性能每秒可重定向 15-20 部 LTE 手機(jī)。每臺(tái) LTE 偽基站，需要4-5臺(tái)GSM偽基站和100-150部攻擊手機(jī)來(lái)對(duì)接。GSM 偽基站以合適的參數(shù)和方式架設(shè)，覆蓋范圍非常大，LTE手機(jī)一旦被LTE偽基站吸引并重定向到 GSM 偽基站，其駐留時(shí)間將足以完成幾十次短信驗(yàn)證碼的接收。攻擊手機(jī)因?yàn)槭峭ㄟ^(guò) UDP 協(xié)議與 GSM 偽基站協(xié)同工作，理論上可以分散在互聯(lián)網(wǎng)覆蓋的任何地方。一旦這樣的一套攻擊系統(tǒng)被黑產(chǎn)架設(shè)起來(lái)，最壞的情況，將能以每秒 20 個(gè)手機(jī)用戶(hù)的速度血洗他們的所有銀行帳戶(hù)，最好的情況，是被黑產(chǎn)用來(lái)刷單，每秒可完成約 100 次帳戶(hù)注冊(cè)。這樣的系統(tǒng)威力很強(qiáng)，已超越黑產(chǎn)過(guò)去所擁有的各種攻擊手段。

3. 這種攻擊方法造成的后果是？

Seeker：1) 影響全部4G／LTE手機(jī)，快速簡(jiǎn)單粗暴。

2) 信息泄露。

3) 資金損失。

4) 如果被黑產(chǎn)利用，1秒可能血洗20部手機(jī)綁定的全部銀行賬戶(hù)，1小時(shí)就可轉(zhuǎn)款7000萬(wàn)元。

4. 有沒(méi)有什么可以預(yù)防這種攻擊的技術(shù)手段？

Seeker：普通用戶(hù)沒(méi)有直接的辦法。金融機(jī)構(gòu)和網(wǎng)絡(luò)服務(wù)商應(yīng)盡快放棄短信驗(yàn)證碼這種不安全的安全認(rèn)證機(jī)制。

5. 電信業(yè)的朋友知道你們這種攻擊方法后是什么態(tài)度？

Seeker：沒(méi)有得到官方的表態(tài)。電信業(yè)的朋友個(gè)人觀(guān)點(diǎn)，主要是說(shuō)電信是管道，是基礎(chǔ)設(shè)施，應(yīng)用安全應(yīng)由商家自己負(fù)責(zé)解決。這跟TCP／IP協(xié)議和互聯(lián)網(wǎng)的發(fā)展歷史一樣，從最初完全沒(méi)有安全機(jī)制，到部分協(xié)議有安全機(jī)制，協(xié)議在不斷升級(jí)完善，但是商家仍然都默認(rèn)互聯(lián)網(wǎng)不安全，從而必須自己在應(yīng)用層設(shè)有安全機(jī)制。同理，電信網(wǎng)絡(luò)也不能被信任，應(yīng)在假設(shè)電信網(wǎng)絡(luò)不安全的前提下設(shè)計(jì)應(yīng)用層的安全機(jī)制。

6. 為什么專(zhuān)門(mén)研究攻破短信驗(yàn)證碼？

Seeker：1) 危害大：各種重要操作普遍使用短信驗(yàn)證碼作為安全機(jī)制；2) 短信驗(yàn)證碼朽而不倒，需要推倒；3) 補(bǔ)充說(shuō)明: 這只是我更廣泛的滲透入侵研究的一部分，算是過(guò)程中的副產(chǎn)品。演示攻破手機(jī)銀行賬戶(hù)只是為了證明危害性。

7. 短信驗(yàn)證碼都被攻破了，那我們?cè)趺崔k？誰(shuí)可以負(fù)責(zé)任地出來(lái)做點(diǎn)什么？

Seeker：1) 解決方案：使用真正的雙因子認(rèn)證系統(tǒng)，然后盡可能照顧用戶(hù)的易用性。2) 普通用戶(hù)：等待。3) 應(yīng)用服務(wù)提供商：未雨綢繆，技術(shù)準(zhǔn)備。4) 銀行／電信等：商機(jī)，提供雙因子認(rèn)證的基礎(chǔ)設(shè)施服務(wù)。5) 我：提供解決方案和咨詢(xún)服務(wù)。

8. 為什么說(shuō)手機(jī)是滲透入侵最好的突破口？

Seeker：1) 手機(jī)是獲得個(gè)人信息／敏感數(shù)據(jù)／權(quán)限的通道。2) 手機(jī)經(jīng)常被攜帶進(jìn)出辦公區(qū)域。在辦公區(qū)域外，就是突破的好時(shí)機(jī)。3) 手機(jī)可被多方式多層次滲透突破。4) 手機(jī)早已是滲透入侵大型網(wǎng)路時(shí)最好的突破口，只不過(guò)之前的入侵多是以互聯(lián)網(wǎng)為通路，多半是利用WIFI完成木馬植入，植入的效率不高。

9. 能不能說(shuō)說(shuō)手機(jī)還有哪些安全隱患？

Seeker：1) SIM卡：OTA推送小程序；2) 基帶：蜂窩數(shù)據(jù)網(wǎng)絡(luò)；3) 操作系統(tǒng)：蜂窩數(shù)據(jù)網(wǎng)絡(luò)／WIFI；4) 應(yīng)用層：蜂窩數(shù)據(jù)網(wǎng)絡(luò)／WIFI；5) 以上是遠(yuǎn)程，如果能物理拿到手機(jī)，BootLoader／TrustZone／HLOS／DRM……

10. 電信網(wǎng)絡(luò)還有哪些安全問(wèn)題？

Seeker：1) 核心網(wǎng)／Femto Cell的問(wèn)題；2) 7號(hào)信令（SS7-MAP）／LTE Diameter互聯(lián)的問(wèn)題；3) VoLTE的問(wèn)題。

11. 聽(tīng)說(shuō)有黑產(chǎn)在找你，能不能詳細(xì)說(shuō)說(shuō)這中間的故事？

Seeker：因?yàn)槲以?KCon 的那個(gè)演講的 PPT 里留過(guò)微信號(hào)，有的黑產(chǎn)業(yè)者看完后就來(lái)問(wèn)我能不能合作……幾乎每天都有吧。

12. 現(xiàn)在關(guān)于這個(gè)領(lǐng)域的黑產(chǎn)到底是怎樣的規(guī)模？仿制你的技術(shù)的門(mén)檻在哪里？

Seeker：黑產(chǎn)規(guī)模沒(méi)有權(quán)威數(shù)字，我也不清楚。仿制的門(mén)檻還是有一些，需要熟悉電信協(xié)議＋基站射頻硬件＋軟件開(kāi)發(fā)的一支研發(fā)團(tuán)隊(duì)。黑產(chǎn)現(xiàn)在還沒(méi)到養(yǎng)研發(fā)團(tuán)隊(duì)的階段，研發(fā)都是單兵在做，要突破就需要一段時(shí)間了。

13. 你研究這些是出于愛(ài)好還是？能抵御金錢(qián)的誘惑嗎？

Seeker：1) 純粹是愛(ài)好，我喜歡研究軍事／情報(bào)機(jī)關(guān)神秘技術(shù)的原理并嘗試自己實(shí)現(xiàn)。2) 也是創(chuàng)業(yè)壓力的釋放，數(shù)字世界比真實(shí)世界更容易掌控。3) 主業(yè)是創(chuàng)業(yè)。從挑戰(zhàn)的角度，創(chuàng)業(yè)成功更具挑戰(zhàn)。從更廣泛的角度，社會(huì)本身是個(gè)大系統(tǒng)，是施展才華的更大戰(zhàn)場(chǎng)。4) 本人篤信社會(huì)價(jià)值創(chuàng)造理論，不創(chuàng)造社會(huì)價(jià)值的事都走不遠(yuǎn)。

14. 最近在研究什么不違法的新技術(shù)？違法的咱們就別說(shuō)了。

Seeker：1) 開(kāi)源移動(dòng)通信項(xiàng)目，基礎(chǔ)／平臺(tái)性質(zhì)；2) 4G／5G安全測(cè)試平臺(tái)，測(cè)試基帶安全；3) 定位和攻擊偽基站；4) 運(yùn)營(yíng)商安全路測(cè)，測(cè)試基站配置隱患，眾包方式。

15. 主業(yè)是商人，業(yè)余是這么牛的黑客，能不能傳授一下經(jīng)驗(yàn)——業(yè)余時(shí)間如何成功地鉆研黑客業(yè)務(wù)？

Seeker：1) 沒(méi)什么經(jīng)驗(yàn)。人的精力都是有限的，我在黑客技術(shù)上的突破，通常發(fā)生在創(chuàng)業(yè)失敗或主業(yè)的低谷時(shí)期。所以，根據(jù)目前我的技術(shù)表現(xiàn)，可以很容易的反推出我在企業(yè)發(fā)展上遇到了困難。

2) 保持技術(shù)不落伍，我有些經(jīng)驗(yàn)：掌握原理看透本質(zhì)，堅(jiān)決拿下生命周期長(zhǎng)的基礎(chǔ)原理／核心技術(shù)，不在那些快速變化的浮華外表和細(xì)枝末節(jié)上浪費(fèi)時(shí)間。

3) 另外補(bǔ)充一下，我不認(rèn)為自己是商人。成功的企業(yè)家一定同時(shí)是成功的商人，但成功的商人不一定是成功的企業(yè)家。我雖然還算不上是成功的企業(yè)家，但從我決定創(chuàng)業(yè)的第一天，就是受企業(yè)家精神的驅(qū)動(dòng)。

4) 之前我說(shuō)過(guò)自己是個(gè)技術(shù)派，所以我以泛技術(shù)的視角來(lái)看待這個(gè)世界，我認(rèn)為研發(fā)是技術(shù)，營(yíng)銷(xiāo)是技術(shù)，財(cái)務(wù)是技術(shù)，管理是技術(shù)，創(chuàng)業(yè)也是技術(shù)，這個(gè)世界就是一個(gè)技術(shù)的世界，只要是技術(shù)的，都應(yīng)該不難掌握。如果說(shuō)黑客技術(shù)是在一個(gè)比較窄的領(lǐng)域的一種智力游戲，那么在這個(gè)廣闊的世界里創(chuàng)業(yè)和競(jìng)爭(zhēng)，就更是一種有挑戰(zhàn)有成就感的智力游戲。我花了更多精力在研究怎么做企業(yè)，比投在安全領(lǐng)域的精力多多了，從技術(shù)角度看已掌握了做企業(yè)的很多知識(shí)，按理說(shuō)早該有所建樹(shù)了。后來(lái)我發(fā)現(xiàn)我錯(cuò)了，這個(gè)世界是個(gè)復(fù)雜系統(tǒng)，而且很多東西比如管理即是技術(shù)同時(shí)也是藝術(shù)。復(fù)雜系統(tǒng)包含著不確定性，不是簡(jiǎn)單的邏輯推演成立結(jié)果就必然成立，這個(gè)跟黑客的數(shù)字世界是不一樣的。所以，當(dāng)我在現(xiàn)實(shí)世界受挫之后，跑回到數(shù)字世界去尋找 100% 掌控的感覺(jué)，也算是一種心理治療吧。

16. 之前你還說(shuō)過(guò)喜歡當(dāng)面和同業(yè)人員交流，上次去360獨(dú)角獸實(shí)驗(yàn)室，說(shuō)了什么了不得的事情？

Seeker：1) 我喜歡遍尋天下高手交流切磋技術(shù)，經(jīng)常陌生拜訪(fǎng)認(rèn)識(shí)新朋友。2) 國(guó)內(nèi)研究無(wú)線(xiàn)安全的氛圍不濃，難得有一個(gè)專(zhuān)門(mén)研究無(wú)線(xiàn)安全的團(tuán)隊(duì)，大家惺惺相惜。3) 答應(yīng)擔(dān)任獨(dú)角獸團(tuán)隊(duì)的榮譽(yù)顧問(wèn)，未來(lái)可能會(huì)有研究合作。

17. 為了表明此次講座確實(shí)是為了建設(shè)和諧社會(huì)，請(qǐng)?jiān)俸椭C地說(shuō)說(shuō)自己做黑客的初衷以及以后的想法。

Seeker：1) 本次講座是為了推倒短信驗(yàn)證碼這種不安全的認(rèn)證機(jī)制，也許推倒很困難，但總要有人推。2) 黑客技術(shù)只是智力游戲，是業(yè)余愛(ài)好。這個(gè)世界終究是機(jī)構(gòu)比個(gè)人更有力量，建設(shè)比破壞更有價(jià)值。我更渴望做的是創(chuàng)建一個(gè)生態(tài)型經(jīng)濟(jì)組織，專(zhuān)注某一自己擅長(zhǎng)領(lǐng)域的社會(huì)價(jià)值創(chuàng)造，以共同愿景和高效率的價(jià)值創(chuàng)造來(lái)吸引和凝聚社會(huì)資源為自己所用，組織應(yīng)能自我學(xué)習(xí)成長(zhǎng)變異進(jìn)化，并最終能真正推動(dòng)所在領(lǐng)域的社會(huì)進(jìn)步。這個(gè)野心和愿景更吸引我。3) 打擊黑產(chǎn)，不遺余力。4) 如有戰(zhàn)事，當(dāng)為國(guó)效力。5) 愿各種形式支持安全領(lǐng)域的創(chuàng)業(yè)公司。

18. 想對(duì)宅客頻道的讀者說(shuō)什么？

Seeker：1) 黑產(chǎn)沒(méi)未來(lái)，回頭是岸。2) 建設(shè)永遠(yuǎn)比破壞更有價(jià)值，安全本身和安全以外的創(chuàng)新研發(fā)需要建設(shè)型人才。3) 希望有更多的人來(lái)玩無(wú)線(xiàn)通信和通信安全。4) 如果你有興趣一起玩通信安全，有能力和精力一起做無(wú)線(xiàn)通信領(lǐng)域的開(kāi)源項(xiàng)目研發(fā)，請(qǐng)跟我聯(lián)系，我的微信：70772177。

讀者提問(wèn)：如果短信驗(yàn)證碼的機(jī)制不安全，哪些驗(yàn)證方式是相對(duì)可靠，能替換它的？

Seeker：這個(gè)問(wèn)題早有答案：就是雙因子或多因子認(rèn)證。問(wèn)題在于過(guò)份照顧用戶(hù)體驗(yàn)和競(jìng)爭(zhēng)導(dǎo)致用戶(hù)數(shù)增長(zhǎng)的壓力，使得商家普遍不愿意第一個(gè)部署雙因子認(rèn)證系統(tǒng)。誰(shuí)能提供一個(gè)不顯著降低用戶(hù)體驗(yàn)的安全認(rèn)證系統(tǒng)，肯定會(huì)有很大的商機(jī)。

讀者提問(wèn)：手機(jī)Kali怎么攻擊？（簡(jiǎn)單探討下理論吧，防止警察蜀黍追捕）

Seeker：安卓手機(jī)上安裝NetHunter后，就是一部黑客手機(jī)，經(jīng)常用做WIFI攻擊，USB口插上SDR可以做GSM偽基站，但是不足以支持LTE。

讀者提問(wèn)：如何評(píng)價(jià)360在 DEF CON 上展示如何黑掉 4G LTE 手機(jī)？ 

Seeker：很好，為國(guó)爭(zhēng)光，中國(guó)人適合做安全，國(guó)際黑客大會(huì)上理應(yīng)有更多中國(guó)黑客去分享。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。