小区一种避免4G手机网络降级后被短信嗅探的方法

一种避免4G手机网络降级后被短信嗅探的方法文档信息

目录

1 4G降级+2G窃听组合攻击的描述

2 目前应对措施

3攻击手段分析及手机侧应对方案

1手机上层定期收集传感器信息

2如果4G小区id未变化

3如果手机位置未发生大的移动

4在possible_lte_attack为true的情况下

5

6 UE驻留在GSM的同时

7在possible_lte_attack为true的时候

8手机离开高危时间段时

4结语

正文

金明宇

摘要 4G网络的安全性很高但是协议里面仍然留下了一些漏洞。针对这些漏洞的4G网络犯罪已经出现。这种犯罪行为会结合2G

技术来非法获取用户的通信信息造成用户财产损失。本文分析了4G降级+2G短信窃听的组合攻击特点从终端侧提出了一套完整的检测及规避机制该机制经验证在现网是可行的

关键字 4G网络降级信号质量信号干扰重定向信息GSM短信嗅探位置更新

中图分类号 TP27文献标识码 A文章编号 1672-3791 2018

12 a -00-03

1 4G降级+2G窃听组合攻击的描述

近来社会上出现了多起利用4G伪基站或干扰器结合2G短信嗅探设备在深夜人们毫无防备的时候对驻留在4G的手机进行诱导降级到2G 同时结合非法渠道获得的受害者身份证号码、银行卡号、支付平台账号等其他敏感信息通过非法截获受害者短信验证码来实施盗刷受害者银行卡、侵害受害者资产等犯罪行为给受害者造成很大的财产损失和不便。

2 目前应对措施

针对这种新型的犯罪方式不少行业内部专家认为手机用户没有很好的应对办法建议手机夜间关机或开启飞行模式只连接WiFi。在这种情况下手机终端在运营商网络侧处于关機状态 网络是不会给手机发送任何消息的但是这样做会让用户面临另一个问题那就是夜间需要紧急联系时无法联系上。

3攻击手段分析及手机侧应对方案

针对第一节描述的问题我们可以看出这种犯罪方式主要利用了通信协议里面的几个漏洞。

LTE协议3GPP TS .4.2规定了绝大部分NAS信令消息需要加密保护但是有下面一些例外

IDENTITY REQUEST if requested identif ication parameteris IMSI

AUTHENT ICATION REQUEST

AUTHENT ICATION REJECT

ATTACH REJECT if the EMM cause is not #25

DETACH ACCEPT for non switch off

TRACKING AREA UPDATE REJECT if the EMM cause is not#25

SERVICE REJECT if the EMM cause is not #25

伪基站正是利用了这一点在捕获到用户UE后诱导UE发起位置更新在这过程中下发身份验证请求I DENTI TY REQUEST。 由于协议规定UE对于这个消息在安全环境建立之前即可处理所以UE在IDENTITY RESPOE中返回自己的IMSI。 同样 IDENTITY RESPOE也不需

要加密3GPP TS 24. 301 .3 。随后伪基站下发ATTACH REJECT或TRACKING AREA UPDATE REJECT并在RRC Connection Release消息里面附带重定向信息RedirectedCarrierInfo 图1 指示终端UE从LTE迁移到GSM网络在无安全性的2G网络实施进一步的非法行为。

GSM下通信内容明文传输。 由于历史原因联通移动GSM的数据传输使用明文进行导致短信甚至电话极易被窃听。短信窃听设备不像2G伪基站全程不会发射无线信号它只是监听GSM空中信道并进行解码提取出感兴趣的特定内容。这样的犯罪行为更隐蔽极难被发现。

对于使用4G信号干扰器的情形终端感受到的只是4G信号质量持续下降最后为了保证用户的通信终端不得不发起跨系统 即从4G到2G的重选。这个攻击主要是针对中国移动用户 因为移动的3G网络覆盖较差而GSM网络建设较好覆盖较广。大部分手机从4G掉网后能找到的就是2G网络。

如果我们只是建议用户晚上关机或打开飞行模式虽然可以避免网络下发短信但是带来的不便也是不言而喻的。

在这里我们提出了一个手机侧的保护方案该方案的主要思想是终端自我评估环境的安全度包括LTE基站的可信度无线环境的安全度根据这个安全度对后续操作采取不同的应对措施。

根据统计这类非法攻击主要发生在深夜人们毫无戒备的时候。所以我们将设置23 00到次日凌晨5 00作为高危时间段。在这个时间段内执行如下检测算法。

1手机上层定期收集传感器信息如位置信息 陀螺仪信息据此判断手机是否有大范围移动。 同时收集基带上报的4G小区信息如小区id、小区信号质量。

2如果4G小区i d未变化手机位置也未发生大的移动但是4G小区信号质量在短时间内快速下降到门限值以下 以至于需要发起LTE到GSM的切换那么将变量possible_lte_attack设置为true。

3如果手机位置未发生大的移动 当前LTE小区信号质量也较稳定 但是出现了一个更好的LTE小区使得UE需要重选到新小区。而重选过程中在位置更新时基站一直没有下发鉴权要求消息

Authenti cat ion request 相反只下发了IDENTITY REQUEST在UE上报了I MS I后Rej ect了UE的位置更新请求那么将变量possible_lte_attack设置为true。

4在possible_lte_attack为true的情况下如果当前LTE小区通过RRC Connection Release消息下发了重定向到2G小区的信息那么手机忽略该消息并将当前小区置入禁止小区列表 同时发起LTE小区重选 possible_lte_attack恢复到false。

5在possible_lte_attack为true的情况下如果UE通过自己搜网找到了信号最好的GSM小区接着要做小区选择及位置更新

Locat ion Update 。在這个过程中UE上报自己的能力将短信能力sms capability关闭图2 。这个做法的目的是为了通知网络不要给该用户下发短信从而避免短信被窃听的可能。在联通和移动的现网实验中一旦将短信能力关闭那么手机就不会受到网络下发的MT短信。如果关闭短信能力之后 UE还是受到了小区下发的SMS那么该小区应该就是GSM伪基站 UE将该小区放入小区禁止列表发起GSM的小区选择。 同时保持possible_lte_attack为true。

6 UE驻留在GSM的同时仍然需要定期扫描LTE网络如果发现了可用的LTE小区那么UE需要返回LTE 向信号最好的可用LTE小区发起位置更新。如果新LTE小区通过了双向的鉴权那么possible_lte_attack恢复为false。

7在possible_lte_attack为true的时候手机在界面上提示用户可能受到伪基站攻击 GSM短信能力被暂时关闭了。用户可以选择是否继续启用短信服务。如果用户启用短信服务那么UE重新发起位置更新上报自己短信能力启用见图3

8手机离开高危时间段时将possible_lte_attack恢复为false 向网络通知启用短信 同时禁用上述检测逻辑。具体高危时间段的设置可以通过菜单显示给用户并允许用户自己定义。

4结语

本文展示的方案基于对目前出现的LTE降级和GSM窃听的行为特征分析评估手机受到非法通信攻击的可能性通过临时关闭手机短信

能力来避免可能发生的短信被窃听的危险。这种方式既能够保护用户的安全又避免了深夜对用户的提醒具有一定智能 同时保留了语音通话能力不会使用户失去通信联系是一种实用性较高的方案。

参考文献

[1]LTE降级+GSM窃听攻击实例“这下一无所有了” [EB/OL]

[3]网络安全实践指南——应对截获短信验证码实施网络身份假冒攻击的技术指引[EB/OL] .https .cfile/zn2.pdf。

[4]3GPP TS 24.301 LTE Non-Access-Stratum NAS protocolfor Evolved Packet System EPS Stage 3[EB/OL] .httpftppecs/archive/24_series/24.301/24301-f40.zip。

[5]3GPP TS 24.008 GSM/UMTA/LTE Mobile radio interfaceLayer 3 specification Core network protocols Stage

3[EB/OL] .http f tppecs/archive/24_series/24.008/24008-f40. zip。

“一种避免4G手机网络降级后被短信嗅探的方法”文档源于网络本人编辑整理。本着保护作者知识产权的原则仅供学习交流请勿商用。如有侵犯作者权益请作者留言或者发站内信息联系本人我将尽快删除。谢谢您的阅读与下载