探索一切、攻破一切 [ Hacker@KCon ] 9/6/2016 3:01:52 PM 0 伪基站高级利用技术 ——彻底攻破短信验证码 Seeker BD4ET 探索一切、攻破一切 [ Hacker@KCon ] 9/6/2016 3:01:54 PM 1 日程 • • • • • • 个人简介 手机通信安全概述 LTE伪基站的实现 GSM MITM攻击的实现 短信验证码的脆弱性 安全建议 9/6/2016 3:01:54 PM 2 个人简介 • • • • 连续创业失败的创业导师 伪天使投资人 某非知名私立大学创办人兼校长 业余时间在本校通信安全实验室打杂 • 个人微信：70772177 9/6/2016 3:02:42 PM 3 Part. 01 手机通信安全概述 9/6/2016 3:01:54 PM 4 探索一切、攻破一切 | [ Hacker@KCon ] 研究电信网安全漏洞的必要性 • 大量终端更换或更新补丁成本过高，漏洞长期 有效 • WIFI与3G/4G蜂窝数据互操作导致的安全风险 • 2G/3G/4G电信业务互操作带来的安全风险 • 最弱的环节在WIFI和2G • WIFI之外更有趣！ 9/6/2016 3:25:26 PM 5 探索一切、攻破一切 | [ Hacker@KCon ] LTE手机的脆弱来自： • WIFI：包交换层面，WIFI和蜂窝数据的互操 作 • 2G：网络覆盖和电路交换层面，LTE与 2G/3G的互操作 9/6/2016 3:01:54 PM 6 探索一切、攻破一切 | [ Hacker@KCon ] 本次话题：攻破短信验证码 • 短信验证码广泛使用是一大隐患 • 拦截短信成为快速入侵的首选 • 而且，可以低成本实现 9/6/2016 3:01:54 PM 7 探索一切、攻破一切 | [ Hacker@KCon ] 短信侦听和拦截当前能做到的程度 1. 联通、电信和移动的4G，可以通过LTE伪基站来重 定向目标手机到3G和2G。 2. 重定向到3G，可以利用FemtoCell实现短信侦听和拦 截。 3. 重定向到2G CDMA，可以利用FemtoCell实现短信侦 听和拦截。 4. 重定向到2G GSM ，可实现旁路短信侦听，通过 MITM还可实现拦截，也可通过Race Condition实现 部分拦截。 9/6/2016 3:01:54 PM 8 探索一切、攻破一切 | [ Hacker@KCon ] 移动通信的演进 TDMA GSM EDGE GPRS WCDMA PDC cdmaOne HSPA LTE CDMA2000 1x CDMA2000 1x EV/DO 2G evolved 2G 3G evolved 3G 9.6 - 14.4 kbps 64–144 kbps 384 kbps - 2 Mbps 384 kbps - 100 Mbps 9/6/2016 3:01:55 PM LTE-A 4G >1 Gbps 9 探索一切、攻破一切 | [ Hacker@KCon ] LTE与2G／3G的互操作 为了提高用户使用感受，用户优选LTE网络驻留，但LTE网络覆盖范围小于2G/3G网络，因此需要进行 LTE与2G/3G网络的系统间互操作   保证用户在LTE与2G/3G网络之间移动时的数据业务连续性 由于LTE不支持CS域，因此CS业务需要回落到2G/3G网络承载 UE在LTE/2G/3G的无线网（E-UTRA/GERAN/UTRA）之间可以采用多种不同的互操作流程（目前中 国移动采用2/4G互操作策略，中国联通采用3/4G互操作策略） LTE网络 空闲态 数据业务 2G/3G网络 语音回落 空闲态移动性 小区重选 9/6/2016 3:01:54 PM 数据业务移动性 LTE与3G LTE与2G 语音回落（CS Fall Back） 回落到3G 回落到2G 10 Part. 02 LTE伪基站的实现 9/6/2016 3:01:54 PM 11 探索一切、攻破一切 | [ Hacker@KCon ] LTE伪基站的实现 1. LTE测试环境的搭建 2. LTE RRC重定向的实现 3. LTE小区重选（Cell Reselection）流程 9/6/2016 3:01:54 PM 12 探索一切、攻破一切 | [ Hacker@KCon ] LTE测试环境的搭建 1. 硬件： 1) 高性能PC 2) BladeRF（或USRP B2x0）＋天线 3) 测试用LTE手机 2. 软件： 1) Linux 2) OpenAirInterface 3) 手机路测软件 9/6/2016 3:01:54 PM 13 探索一切、攻破一切 | [ Hacker@KCon ] LTE RRC重定向（redirectedCarrierInfo） 1. redirectedCarrierInfo历史悠久，始见于3G通信 标准 2. 应用广泛，大量应用于LTE CSFB 3. 通信人所说的RRC重定向，其实就是含有 redirectedCarrierInfo 信息的RRC Connection Release 4. 也是我们本次Hack中LTE部分的重点 9/6/2016 3:01:54 PM 14 探索一切、攻破一切 | [ Hacker@KCon ] LTE CSFB回落方案 LTE CSFB to 2G回落方案 ① R8 RRC重定向 携带2G邻频点 发起CSFB 呼叫 测量选取回落的 2G小区，与回落 的2G小区同步 完成驻留并 建立通话 读目标小区 广播消息 LTE网络通过RIM流程提前 获取2G或3G邻区广播消息 ②R9 RRC重定向 携带2G邻频点、小区ID 及小区广播消息 测量选取回落的 2G小区，与回落 的2G小区同步 完成驻留并 建立通话 RIM Signaling RIM流程介绍 RIM流程：实质是在LTE与2G系统间搭建了一条 信令交互的通路，利用该功能，LTE网络可提前 获取其周围2G邻区系统广播并下发至终端。 RIM流程功能需要LTE和2G核心网、无线网网元 进行相应升级改造 9/6/2016 3:01:54 PM eNodeB S1 MME Relaying RIM Signaling E-UTRAN S3/Gn GERAN Gb/Iu BSS SGSN RIM Signaling 15 探索一切、攻破一切 | [ Hacker@KCon ] LTE CSFB重定向的消息序列 9/6/2016 3:01:54 PM 16 探索一切、攻破一切 | [ Hacker@KCon ] LTE CSFB重定向的L3信令 9/6/2016 3:01:54 PM 17 探索一切、攻破一切 | [ Hacker@KCon ] LTE CSFB重定向的L3信令 9/6/2016 3:01:54 PM 18 探索一切、攻破一切 | [ Hacker@KCon ] LTE RRC重定向的利用 1. 手机（UE）重选（Cell Reselection）到我们的LTE伪 基站； 2. UE发起TAU Request，伪基站Reject之； 3. UE发起Attach Request，伪基站Reject之； 4. 伪基站随后下发RRCConnectionRelease消息，其中 含有redirectedCarrierInfo信息，指示手机重定向到 我们架设的GSM伪基站； 5. 其重点是：启动安全验证之前下发 RRCConnectionRelease。 9/6/2016 3:01:54 PM 19