温特大会2024Banner


安全性

假基站或IMSI抓手:你需要知道

任命5G先锋Rakesh Taori为无线VP

陶万市
杰出技术家安全

2019年10月23日

假基础站、 Rogue基础站、国际移动用户识别器或Stingrai四种词都指由硬件和软件组成工具,允许通过无线电访问网对移动用户进行被动主动攻击攻击工具(以下简称FBS)利用移动网络安全漏洞从2G(第二代)到3G、4G和5G5G有改进,待会再讨论

移动网络代代相传,手机基站定期播送网络信息移动设备或用户设备监听这些广播消息,选择适当的手机并连接手机和移动网络因实战挑战 广播消息不受保密性 真实性或完整性保护结果,广播消息易伪或篡改某些解锁消息也没有受保护 并允许假冒缺少对移动广播消息和某些无卡消息的安全保护使FBS成为可能

FBS可采取多种形式,如单集成设备或多分离组件后表[1]FBS通常由无线收发器、笔记本电脑和手机组成无线收发器广播无线电信号冒充合法基站笔记本电脑连接收发机(例如通过USB接口)并控制广播内容和广播信号强度手机常用于捕捉合法基站广播消息并输入笔记本电脑以简化收发机配置两种形式中都可用小脚印绑定FBS,允许将其留在不可知地点(例如安装到街杆上)或方便携带(例如背包内)。

FBS常播送与合法网络相同的网络标识符,但带强信号诱导用户离开FBS信号成功需要多强答案直到最近才为人们所理解根据实验研究2FBS信号必须大于30db强信号35db强时成功率约80%40db强时成功率提高至100%在这些实验中,FBS用与合法单元相同的频率和波段播送相同消息FBS的另一策略是播送相同的网络标识符,但带不同的跟踪区码,诱导UE相信它已输入一个新的跟踪区并切换FBS这项战略可以更容易地将UE引向FBS并会帮助降低FBS成功所需的信号强度精确信号强度需求 无法用实验量测

i宿营FBS,UE受主动式攻击和被动式攻击被动攻击时,敌手只监听UE和合法基站的广播信号而不干扰通信(例如信号注入)。被动攻击的后果包括-但不限于-身份失窃和定位跟踪窃听往往成为主动攻击的踏脚石 敌手还注入信号主动攻击者可以是中间人或侧人攻击者

MITM攻击中攻击者正走UE和另一个实体通信之道,对通信几乎可以做任何事情,例如读取、注射、修改和删除消息一种攻击方式是将UE降级2G弱或空密码允许窃听MITM攻击的另一个实例是aLTEr[3],它仅篡改LTE网络dNS请求,不降级或篡改控制消息用户平面数据LTE加密,但如果加密(例如AES反模式)由于缺乏完整性保护而易失能,则仍可篡改

在MOTS攻击中,攻击者对通信的控制量不同于MITM攻击攻击者多发消息从UE获取信息(例如通过身份请求窃取IMSI),向UE发送恶意消息(例如按网短信)或从UE拦截服务(例如代表UE响应电话[4])。MOTS攻击者不引导UE连接它,仍然可以干扰现有通信-例如,通过注入略强信号,这些信号有适当时间覆盖合法消息中选定部分[2]

FBS自2G以来一直威胁数代移动网络的安全3GPP过去曾研究FBS缓冲问题,但由于实际约束如密码密钥管理部署挑战以及时序同步困难等没有成功5G发布15[5],网络侧检测FBS说明,帮助减少风险,尽管未能防止FBS5G发布15还介绍用户永久标识码公开密钥加密5G发布16[6]正重新研究FBS提出了各种解决办法,包括保护广播完整性、分页和解锁消息还建议其他检测方法

我们认为FBS主要来自缺乏完整性保护广播消息基本解决办法是保护信号完整性(例如使用公钥数字签名)。虽然挑战仍然有这样一个解决方案,但我们认为这些挑战并非不可克服。其它解决方案基于攻击签名,当攻击演进改变攻击技巧和行为时,这些签名可能帮助但最终可绕过期待3GPSA3协议长期解决5G中FBS问题

学习更多5G未来订阅我们的博客


辅助到OurBlog

引用

[1] Li、Zhenhua、Weiwei Wang、Christo Wilson、Chen、Chenqian、Taeho Jung、LanZhang、Kebin Liu、YunhaFBS-Radar:野外解封假基站

阳市 市 市 金市 金市 宋民金市 金市静信令:物理信号反射LTE

RupprechtDKHolzT和PopperC2019年5月IEE安全隐私座谈会记录

GoldeNRedonK和SeifertJP2013年8月第22届USENIX安全座谈会记录

3GPPTS33.501,“安全架构和5G系统程序”(发布15)v155.0,2019年6月

3GPP TR 33.809,“研究5G安全增强反假基站”(释放16)v0.5.02019

Baidu
map