金明宇

摘 要：4G網(wǎng)絡(luò)的安全性很高，但是協(xié)議里面仍然留下了一些漏洞。針對這些漏洞的4G網(wǎng)絡(luò)犯罪已經(jīng)出現(xiàn)。這種犯罪行為會結(jié)合2G技術(shù)，來非法獲取用戶的通信信息，造成用戶財產(chǎn)損失。本文分析了4G降級+2G短信竊聽的組合攻擊特點，從終端側(cè)提出了一套完整的檢測及規(guī)避機制，該機制經(jīng)驗證在現(xiàn)網(wǎng)是可行的。

關(guān)鍵詞：4G網(wǎng)絡(luò)降級 信號質(zhì)量 信號干擾 重定向信息 GSM短信嗅探 位置更新

中圖分類號：TP27 文獻標(biāo)識碼：A 文章編號：1672-3791（2018）12（a）-00-03

1 4G降級+2G竊聽組合攻擊的描述

近來社會上出現(xiàn)了多起利用4G偽基站或干擾器結(jié)合2G短信嗅探設(shè)備，在深夜人們毫無防備的時候，對駐留在4G的手機進行誘導(dǎo)降級到2G，同時結(jié)合非法渠道獲得的受害者身份證號碼、銀行卡號、支付平臺賬號等其他敏感信息，通過非法截獲受害者短信驗證碼，來實施盜刷受害者銀行卡、侵害受害者資產(chǎn)等犯罪行為，給受害者造成很大的財產(chǎn)損失和不便。

2 目前應(yīng)對措施

針對這種新型的犯罪方式，不少行業(yè)內(nèi)部專家認為手機用戶沒有很好的應(yīng)對辦法，建議手機夜間關(guān)機或開啟飛行模式，只連接WiFi。在這種情況下，手機終端在運營商網(wǎng)絡(luò)側(cè)處于關(guān)機狀態(tài)，網(wǎng)絡(luò)是不會給手機發(fā)送任何消息的，但是這樣做會讓用戶面臨另一個問題，那就是夜間需要緊急聯(lián)系時無法聯(lián)系上。

3 攻擊手段分析及手機側(cè)應(yīng)對方案

針對第一節(jié)描述的問題，我們可以看出這種犯罪方式主要利用了通信協(xié)議里面的幾個漏洞。

LTE協(xié)議3GPP TS 24.301章節(jié)4.4.4.2規(guī)定了絕大部分NAS信令消息需要加密保護，但是有下面一些例外：

IDENTITY REQUEST （if requested identification parameter is IMSI）；

AUTHENTICATION REQUEST；

AUTHENTICATION REJECT；

ATTACH REJECT （if the EMM cause is not #25）；

DETACH ACCEPT （for non switch off）；

TRACKING AREA UPDATE REJECT （if the EMM cause is not #25）；

SERVICE REJECT （if the EMM cause is not #25）

偽基站正是利用了這一點，在捕獲到用戶UE后，誘導(dǎo)UE發(fā)起位置更新，在這過程中，下發(fā)身份驗證請求IDENTITY REQUEST。由于協(xié)議規(guī)定UE對于這個消息在安全環(huán)境建立之前即可處理，所以UE在IDENTITY RESPONSE中返回自己的IMSI。同樣，IDENTITY RESPONSE也不需要加密（3GPP TS 24.301 4.4.4.3）。隨后偽基站下發(fā)ATTACH REJECT或TRACKING AREA UPDATE REJECT，并在RRC Connection Release消息里面附帶重定向信息RedirectedCarrierInfo（圖1），指示終端UE從LTE遷移到GSM網(wǎng)絡(luò)，在無安全性的2G網(wǎng)絡(luò)實施進一步的非法行為。

GSM下通信內(nèi)容明文傳輸。由于歷史原因，聯(lián)通移動GSM的數(shù)據(jù)傳輸使用明文進行，導(dǎo)致短信甚至電話極易被竊聽。短信竊聽設(shè)備不像2G偽基站，全程不會發(fā)射無線信號，它只是監(jiān)聽GSM空中信道并進行解碼，提取出感興趣的特定內(nèi)容。這樣的犯罪行為更隱蔽，極難被發(fā)現(xiàn)。

對于使用4G信號干擾器的情形，終端感受到的只是4G信號質(zhì)量持續(xù)下降，最后為了保證用戶的通信，終端不得不發(fā)起跨系統(tǒng)，即從4G到2G的重選。這個攻擊主要是針對中國移動用戶，因為移動的3G網(wǎng)絡(luò)覆蓋較差，而GSM網(wǎng)絡(luò)建設(shè)較好，覆蓋較廣。大部分手機從4G掉網(wǎng)后，能找到的就是2G網(wǎng)絡(luò)。

如果我們只是建議用戶晚上關(guān)機或打開飛行模式，雖然可以避免網(wǎng)絡(luò)下發(fā)短信，但是帶來的不便也是不言而喻的。

在這里我們提出了一個手機側(cè)的保護方案，該方案的主要思想是終端自我評估環(huán)境的安全度，包括LTE基站的可信度，無線環(huán)境的安全度，根據(jù)這個安全度，對后續(xù)操作采取不同的應(yīng)對措施。

根據(jù)統(tǒng)計，這類非法攻擊主要發(fā)生在深夜，人們毫無戒備的時候。所以我們將設(shè)置23：00到次日凌晨5：00，作為高危時間段。在這個時間段內(nèi)，執(zhí)行如下檢測算法。

（1）手機上層定期收集傳感器信息，如位置信息，陀螺儀信息，據(jù)此判斷手機是否有大范圍移動。同時收集基帶上報的4G小區(qū)信息，如小區(qū)id、小區(qū)信號質(zhì)量。

（2）如果4G小區(qū)id未變化，手機位置也未發(fā)生大的移動，但是4G小區(qū)信號質(zhì)量在短時間內(nèi)快速下降到門限值以下，以至于需要發(fā)起LTE到GSM的切換，那么將變量possible_lte_attack設(shè)置為true。

（3）如果手機位置未發(fā)生大的移動，當(dāng)前LTE小區(qū)信號質(zhì)量也較穩(wěn)定， 但是出現(xiàn)了一個更好的LTE小區(qū)，使得UE需要重選到新小區(qū)。而重選過程中在位置更新時，基站一直沒有下發(fā)鑒權(quán)要求消息（Authentication request），相反只下發(fā)了IDENTITY REQUEST，在UE上報了IMSI后Reject了UE的位置更新請求，那么將變量possible_lte_attack設(shè)置為true。

（4）在possible_lte_attack為true的情況下，如果當(dāng)前LTE小區(qū)通過RRC Connection Release消息下發(fā)了重定向到2G小區(qū)的信息，那么手機忽略該消息，并將當(dāng)前小區(qū)置入禁止小區(qū)列表，同時發(fā)起LTE小區(qū)重選，possible_lte_attack恢復(fù)到false。

（5）在possible_lte_attack為true的情況下如果UE通過自己搜網(wǎng)找到了信號最好的GSM小區(qū)，接著要做小區(qū)選擇及位置更新（Location Update）。在這個過程中UE上報自己的能力，將短信能力（sms capability）關(guān)閉（圖2）。這個做法的目的是為了通知網(wǎng)絡(luò)，不要給該用戶下發(fā)短信，從而避免短信被竊聽的可能。在聯(lián)通和移動的現(xiàn)網(wǎng)實驗中，一旦將短信能力關(guān)閉，那么手機就不會受到網(wǎng)絡(luò)下發(fā)的MT短信。如果關(guān)閉短信能力之后，UE還是受到了小區(qū)下發(fā)的SMS，那么該小區(qū)應(yīng)該就是GSM偽基站，UE將該小區(qū)放入小區(qū)禁止列表，發(fā)起GSM的小區(qū)選擇。同時保持possible_lte_attack為true。

（6）UE駐留在GSM的同時，仍然需要定期掃描LTE網(wǎng)絡(luò)，如果發(fā)現(xiàn)了可用的LTE小區(qū)，那么UE需要返回LTE，向信號最好的可用LTE小區(qū)發(fā)起位置更新。如果新LTE小區(qū)通過了雙向的鑒權(quán)，那么possible_lte_attack恢復(fù)為false。

（7）在possible_lte_attack為true的時候，手機在界面上提示用戶可能受到偽基站攻擊，GSM短信能力被暫時關(guān)閉了。用戶可以選擇是否繼續(xù)啟用短信服務(wù)。如果用戶啟用短信服務(wù)，那么UE重新發(fā)起位置更新，上報自己短信能力啟用（見圖3）。

（8）手機離開高危時間段時，將possible_lte_attack恢復(fù)為false，向網(wǎng)絡(luò)通知啟用短信，同時禁用上述檢測邏輯。具體高危時間段的設(shè)置可以通過菜單顯示給用戶，并允許用戶自己定義。

4 結(jié)語

本文展示的方案基于對目前出現(xiàn)的LTE降級和GSM竊聽的行為特征分析，評估手機受到非法通信攻擊的可能性，通過臨時關(guān)閉手機短信能力來避免可能發(fā)生的短信被竊聽的危險。這種方式既能夠保護用戶的安全，又避免了深夜對用戶的提醒，具有一定智能，同時保留了語音通話能力，不會使用戶失去通信聯(lián)系，是一種實用性較高的方案。

參考文獻

[1] LTE降級+GSM竊聽攻擊實例“這下一無所有了”[EB/OL].https：//www.douban.com/group/topic/121312665/.

[2] “新技術(shù)詐騙讓不少人損失慘重！警方提醒注意以下問題”[EB/OL].https：//baijiahao.baidu.com/s？id=1607948319082612267𝔴=spider&for;=pc.

[3] 網(wǎng)絡(luò)安全實踐指南——應(yīng)對截獲短信驗證碼實施網(wǎng)絡(luò)身份假冒攻擊的技術(shù)指引[EB/OL].https：//www.tc260.org.cn/file/zn2.pdf.

[4] 3GPP TS 24.301 LTE Non-Access-Stratum（NAS）protocol for Evolved Packet System（EPS）Stage 3[EB/OL].http：//www.3gpp.org/ftp//Specs/archive/24_series/24.301/24301-f40.zip.

[5] 3GPP TS 24.008 GSM/UMTA/LTE Mobile radio interface Layer 3 specification Core network protocols Stage 3[EB/OL].http：//www.3gpp.org/ftp//Specs/archive/24_series/24.008/24008-f40.zip.