如何利用 LTE／4G 偽基站＋GSM 中間人攻擊攻破所有簡訊驗證 ，純乾貨！| 硬創公開課

導語：如何利用 LTE／4G 偽基站＋GSM 中間人攻擊攻破所有簡訊驗證，以及應對攻略。

這次公開課請來的嘉賓對自己的簡介是：

連續創業失敗的創業導師；

偽天使投資人；

某非知名私立大學創辦人兼校長；

業餘時間在本校通訊安全實驗室打雜。

自從他在黑客大會上演講《偽基站高階利用技術——徹底攻破簡訊驗證碼》後，黑產就盯上了這項技術。他們給能仿製這項攻擊方法的人開價保底一個月 200 萬元，外加分成。

這個攻擊方法其實1秒鐘可以血洗很多個銀行賬號。他說，保守估計一小時能帶來 7000 萬元的黑產產值。但是，他並不是為了錢。他的原話是：“簡訊驗證碼這種安全機制朽而不倒，我想把它推倒！”

他就是雷鋒網(公眾號：雷鋒網)宅客頻道（微信ID：letshome）此前曾報道過的黑客 Seeker 。上次，Seeker 覺得自己和雷鋒網聊了太多“花邊八卦”，這次公開課，他決定好好聊聊“純技術”（開玩笑！依然不會放過你的八卦） ，談談如何利用 LTE／4G 偽基站＋GSM 中間人攻擊攻破所有簡訊驗證，以及應對攻略。

嘉賓介紹

Seeker，中國海天集團有限公司創始人兼CEO，IT老兵，網路安全專家，1994年起創業，幾經起伏，至今仍在路上，主業是開辦私立大學，研發網際網路和網路安全類產品，提供IT技術培訓和諮詢服務。Seeker對新技術非常敏感，13歲開始程式設計，初中開始玩無線電通訊，之後一直保持在網路安全和無線通訊領域的研究興趣。

問答精華回顧

1. 首先請Seeker老師進行簡單的自我介紹。

Seeker：我是一個連續創業者，1994年大學畢業，當年在北京中關村創辦第一家公司，從此一直在創業路上，創業方向主要是IT、網際網路和教育，業務幾經起落和調整，目前公司業務主要是開辦私立大學，研發網際網路和網路安全類產品，提供IT技術培訓和諮詢服務。

我一直對新技術、新管理理念、新創業方法等懷有濃厚興趣，也追蹤很多科技領域的發展，算是個意識領先、比較新潮的技術派。13歲開始程式設計，初中開始玩無線電通訊，是電腦神童和少年HAM，之後一直保持在網路安全和無線通訊領域的研究興趣。工作的原因，我主要活躍在教育圈、創業圈和投資圈，但是業餘時間，我大部分用於網路安全和無線通訊領域的研究。

2. 為了不招來警察蜀黍，請在合法的基礎上詳細介紹一下LTE重定向+GSM中間人攻擊的方法。

Seeker：我實現的這種攻擊方法，能夠證明簡訊驗證碼這種安全認證機制可被輕易突破，理應儘快放棄並使用更安全的認證機制。

先簡單說說原理：攻擊者可通過架設 LTE 偽基站吸引目標 LTE 手機前來附著（Attach），在附著過程中通過 RRC 重定向信令將該手機重定向到攻擊者預先架設的惡意網路，通常是 GSM 偽基站，然後攻擊者用另一部手機作為攻擊手機，以目標手機的身份在運營商現網註冊，從而在現網擁有目標手機的全部身份，能夠以目標手機的身份接打電話、收發簡訊，這就是所謂 GSM 中間人攻擊。這種攻擊方法能夠攔截掉髮給目標手機的所有簡訊，因此可以攻破以簡訊驗證碼作為身份認證機制的任何網路服務，包括手機銀行和手機支付系統。

需要說明的是，LTE RRC 重定向，不止可以對接 GSM 偽基站，還可以對接 CDMA 偽基站，以及破解過的 3G、4G Femto Cell，同樣可以實現中間人攻擊。即使對接 GSM，某些情況下也可以不架設偽基站，直接對接現網 GSM 基站，然後使用半主動式方式來攔截簡訊，不用中間人攻擊也達到同樣的簡訊攔截效果。

LTE 重定向+ GSM 中間人攻擊的適用範圍廣，破壞性強。範圍廣，是通過LTE重定向攻擊來實現的，因為LTE 偽基站覆蓋範圍內的 95% 以上的 LTE 手機會受影響。破壞性強，是通過中間人攻擊這種形式，等於手機的電話簡訊的全部控制權在機主無法察覺的情況下轉到了攻擊者手裡，不止可以攔截簡訊驗證碼，還可以組合出花樣繁多的各種利用方法。

LTE重定向攻擊的首次公開，是在今年5月出版的由 360 Unicorn Team 合著的新書《無線電安全攻防大揭祕》中簡短提到，而在在國際上的第一次公開展示，是在 5 月底阿姆斯特丹的 HITB 上，由 360 Unicorn Team 的黃琳博士完成的。黃琳演示了一部中國聯通的 iPhone 手機，被 LTE 偽基站重定向到 GSM 偽基站，驗證了 LTE 重定向攻擊的可能性。所以，我並不是第一個發現這個 LTE 可利用漏洞的人。

GSM 中間人攻擊的歷史更悠久，我既不是第一個發現的人，也不是第一個實現這種攻擊方法的人。

GSM 中間人攻擊在國內 2～3 年前就有黑產應用，最常見的就是號碼採集系統，用來採集某位置附近的 GSM 手機號碼，通過 GSM 偽基站+攻擊手機劫持附近的 GSM 手機使用者的身份去撥打一個特定電話號碼，然後彙總該號碼上的未接來電。這樣在該位置附近經過的人的手機號碼就不知不覺的洩露了。還有的黑產在劫持手機使用者身份後發簡訊訂閱某些SP服務，因為有明顯的費用產生，使用者容易察覺到。更隱蔽的做法是用來刷單，拿到手機號碼後短時間保持身份劫持狀態以攔截簡訊，然後迅速的完成網路使用者註冊開戶或者某些敏感操作的簡訊確認，就可以實現批量自動註冊使用者和刷單了。還有今年發現的在國際機場附近劫持手機身份，然後在國外運營商網路裡撥打主叫高付費電話的利用方式，就更惡性了。

我發現理論上可以把 LTE 重定向攻擊和 GSM 中間人攻擊這兩者組合起來，形成一個廣泛適用的，威力強大的攻擊工具。以我對黑產的觀察，這種工具遲早被黑產研發出來並加以利用。電信協議漏洞的時效性非常長，因為需要照顧現存的幾十億部手機終端。電信協議漏洞一旦被黑產利用，危害將廣泛而持久。我個人預測，黑產將首先瞄準簡訊驗證碼這種已被證明不安全的認證機制，並先從手機銀行和手機支付系統入手。各金融機構和網路服務商應充分警醒，早做準備，畢竟部署另一套身份認證系統需要不少時間。為了證明這種攻擊不只理論上成立，而且很快會真實出現，讓業界儘早放棄簡訊驗證碼，我程式設計實現了這種攻擊組合，並在 8 月的 KCon 黑客大會上做了演講《偽基站高階利用技術——徹底攻破簡訊驗證碼》。今天這次公開課，也是基於同樣目的，就是再推一把簡訊驗證碼這個朽而不倒，很不容易推倒的認證機制，並提出替代解決方案。

遵循負責任披露（Responsible Disclosure）模式，我不會對外發布攻擊原始碼和實現的具體細節，避免被黑產從業者利用。但是我仍會披露足夠多的資訊，使各金融機構和網路服務商能充分重視，瞭解到安全威脅的嚴重性並準備替代解決方案。

以上是背景資訊，下面進入正題。以下內容假設群友已初步瞭解 GSM 和 LTE 的基礎知識。

LTE RRC重定向在現網中頻繁使用，多見於LTE手機接打電話時的電路域回落（CSFB），是指LTE系統通過 RRCConnectionRelease 訊息中的 redirectedCarrierInfo 指示手機／使用者裝置（UE）在離開連線態後要嘗試駐留到指定的系統/頻點。UE會先釋放掉當前連線，然後重定向到指示的頻點重新建立連線。

LTE RRC 重定向攻擊的原理：LTE 偽基站吸引 LTE 手機前來附著，在收到手機發來附著請求（Attach Request）之後，安全流程啟動之前，直接下發NAS訊息拒絕附著（Attach Reject），緊接著下發 RRCConnectionRelease 訊息，該訊息攜帶 redirectedCarrierInfo 資訊，指示手機關閉當前連線，然後轉到攻擊者指示的網路（2G／3G／4G）和頻點（ARFCN），通常是預先架設好的惡意網路，去建立連線，從而方便攻擊者實施下一步攻擊。

LTE RRC 重定向攻擊成立的原因：LTE 下手機（UE）和基站（eNodeB）應該是雙向認證的，按理說不應該出現未認證基站真偽，就聽從基站指令的情況。3GPP制定協議標準時，應該是在可用性和安全性不可兼得的情況下選擇了可用性，放棄了安全性，即考慮發生緊急情況、突發事件時可能產生大量手機業務請求，網路可用性對於保證生命、財產安全至關重要，需要能及時排程網路請求，轉移壓力，這時候大量的鑑權、加密、完整性檢查等安全措施可能導致網路瓶頸，因此被全部捨棄。

LTE 偽基站的搭建：硬體：高效能PC、bladeRF(或USRP B2x0)、天饋系統；軟體：Ubuntu Linux、OpenAirInterface。相比 OpenLTE，OAI 的程式碼要成熟穩定的多，而且同時支援 TDD 和 FDD LTE 。

LTE RRC重定向攻擊的程式設計實現：OAI（OpenAirInterface）程式碼中定義了 R8 和 R9 的 RRCConnectionRelase, 但是沒有呼叫邏輯; 需要修改 MME 和 eNodeB 的程式碼,增加相應邏輯。

下面介紹 GSM 中間人攻擊的原理：在目標 GSM 手機和運營商 GSM 基站之間插入一臺GSM偽基站和一部GSM攻擊手機。在目標附近啟動偽基站，誘使目標手機來駐留（Camping），同時呼叫攻擊手機去附著（Attach）現網的運營商基站，如果現網要求鑑權，就把鑑權請求（Authentication Request）通過偽基站發給目標手機，目標手機返回鑑權響應 ( Authentication Response ) 給偽基站後，該鑑權響應先傳給攻擊手機，攻擊手機再轉發給現網，最後鑑權完成，攻擊手機就以目標手機的身份成功註冊在現網上了。之後收發簡訊或接打電話時，如果現網不要求鑑權，就可以由攻擊手機直接完成，如果需要鑑權，就再次呼叫偽基站向目標手機發起鑑權請求，之後把收到的鑑權響應轉發給現網的運營商基站。

GSM 偽基站的搭建：硬體：普通 PC、USRP B2X0 + 天線（或Motorola C118／C139 + CP2102）。軟體：Ubuntu Linux、OpenBSC。OpenBSC：由Osmocom發起並維護的一套高效能、介面開放的開源GSM／GPRS基站系統。

GSM 攻擊手機的搭建：硬體：普通PC、Motorola C118／C139 + CP2102。軟體：Ubuntu Linux、OsmocomBB。OsmocomBB：基於一套洩露的手機基帶原始碼重寫的開源的GSM基帶專案，只能支援TI Calypso基帶處理器。被用來參考的那套洩露原始碼不完整，只有90+%的原始碼，部分連線庫沒有原始碼，而且也缺少DSP的程式碼。OsmocomBB 被設計成黑客的實驗工具，而不是供普通使用者使用的手機系統，其Layer 2和3是在PC上執行的，方便黑客編寫和修改程式碼，實現自己的某些功能。

GSM 中間人（MITM）攻擊的程式設計實現（OpenBSC）：實現偽基站的基本功能；將附著手機的IMSI發給MITM攻擊手機；接收來自攻擊手機的鑑權請求,並向目標手機發起網路鑑權；將從目標手機接收到的鑑權響應發回給攻擊手機。

GSM 中間人（MITM）攻擊的程式設計實現（OsmocomBB）：接收偽基站發來的 IMSI ；以此 IMSI 向對應運營商網路發起位置更新（Location Update）請求；如果運營商網路要求鑑權，則將收到的鑑權請求發給偽基站；接收偽基站發回的鑑權響應，轉發給運營商網路，完成鑑權；開始使用仿冒身份執行攻擊向量：接收/傳送簡訊, 撥打/接聽電話。如果某個操作需要鑑權，則重複之前的鑑權流程。

LTE RRC 重定向攻擊的執行截圖：

GSM MITM 攻擊的執行截圖：

黑產可能的利用方式（輕量級）：揹包、小功率、小範圍。每次影響少數幾人，屬於針對性攻擊。

圖中的 USRP B200mini 用來實現LTE偽基站，一部 Motorola C139 用來實現 GSM 偽基站，一部 Motorola C118 用來實現攻擊手機。

黑產可能的利用方式（普通）：架高／車載／揹包、大功率、大範圍。影響很多人，屬於無差別攻擊。LTE 偽基站將能覆蓋半徑 300 米內 95% 的LTE手機，峰值效能每秒可重定向 15-20 部 LTE 手機。每臺 LTE 偽基站，需要4-5臺GSM偽基站和100-150部攻擊手機來對接。GSM 偽基站以合適的引數和方式架設，覆蓋範圍非常大，LTE手機一旦被LTE偽基站吸引並重定向到 GSM 偽基站，其駐留時間將足以完成幾十次簡訊驗證碼的接收。攻擊手機因為是通過 UDP 協議與 GSM 偽基站協同工作，理論上可以分散在網際網路覆蓋的任何地方。一旦這樣的一套攻擊系統被黑產架設起來，最壞的情況，將能以每秒 20 個手機使用者的速度血洗他們的所有銀行帳戶，最好的情況，是被黑產用來刷單，每秒可完成約 100 次帳戶註冊。這樣的系統威力很強，已超越黑產過去所擁有的各種攻擊手段。

3. 這種攻擊方法造成的後果是？

Seeker：1) 影響全部4G／LTE手機，快速簡單粗暴。

2) 資訊洩露。

3) 資金損失。

4) 如果被黑產利用，1秒可能血洗20部手機繫結的全部銀行賬戶，1小時就可轉款7000萬元。

4. 有沒有什麼可以預防這種攻擊的技術手段？

Seeker：普通使用者沒有直接的辦法。金融機構和網路服務商應儘快放棄簡訊驗證碼這種不安全的安全認證機制。

5. 電信業的朋友知道你們這種攻擊方法後是什麼態度？

Seeker：沒有得到官方的表態。電信業的朋友個人觀點，主要是說電信是管道，是基礎設施，應用安全應由商家自己負責解決。這跟TCP／IP協議和網際網路的發展歷史一樣，從最初完全沒有安全機制，到部分協議有安全機制，協議在不斷升級完善，但是商家仍然都預設網際網路不安全，從而必須自己在應用層設有安全機制。同理，電信網路也不能被信任，應在假設電信網路不安全的前提下設計應用層的安全機制。

6. 為什麼專門研究攻破簡訊驗證碼？

Seeker：1) 危害大：各種重要操作普遍使用簡訊驗證碼作為安全機制；2) 簡訊驗證碼朽而不倒，需要推倒；3) 補充說明: 這只是我更廣泛的滲透入侵研究的一部分，算是過程中的副產品。演示攻破手機銀行賬戶只是為了證明危害性。

7. 簡訊驗證碼都被攻破了，那我們怎麼辦？誰可以負責任地出來做點什麼？

Seeker：1) 解決方案：使用真正的雙因子認證系統，然後儘可能照顧使用者的易用性。2) 普通使用者：等待。3) 應用服務提供商：未雨綢繆，技術準備。4) 銀行／電信等：商機，提供雙因子認證的基礎設施服務。5) 我：提供解決方案和諮詢服務。

8. 為什麼說手機是滲透入侵最好的突破口？

Seeker：1) 手機是獲得個人資訊／敏感資料／許可權的通道。2) 手機經常被攜帶進出辦公區域。在辦公區域外，就是突破的好時機。3) 手機可被多方式多層次滲透突破。4) 手機早已是滲透入侵大型網路時最好的突破口，只不過之前的入侵多是以網際網路為通路，多半是利用WIFI完成木馬植入，植入的效率不高。

9. 能不能說說手機還有哪些安全隱患？

Seeker：1) SIM卡：OTA推送小程式；2) 基帶：蜂窩資料網路；3) 作業系統：蜂窩資料網路／WIFI；4) 應用層：蜂窩資料網路／WIFI；5) 以上是遠端，如果能物理拿到手機，BootLoader／TrustZone／HLOS／DRM……

10. 電信網路還有哪些安全問題？

Seeker：1) 核心網／Femto Cell的問題；2) 7號信令（SS7-MAP）／LTE Diameter互聯的問題；3) VoLTE的問題。

11. 聽說有黑產在找你，能不能詳細說說這中間的故事？

Seeker：因為我在 KCon 的那個演講的 PPT 裡留過微訊號，有的黑產業者看完後就來問我能不能合作……幾乎每天都有吧。

12. 現在關於這個領域的黑產到底是怎樣的規模？仿製你的技術的門檻在哪裡？

Seeker：黑產規模沒有權威數字，我也不清楚。仿製的門檻還是有一些，需要熟悉電信協議＋基站射頻硬體＋軟體開發的一支研發團隊。黑產現在還沒到養研發團隊的階段，研發都是單兵在做，要突破就需要一段時間了。

13. 你研究這些是出於愛好還是？能抵禦金錢的誘惑嗎？

Seeker：1) 純粹是愛好，我喜歡研究軍事／情報機關神祕技術的原理並嘗試自己實現。2) 也是創業壓力的釋放，數字世界比真實世界更容易掌控。3) 主業是創業。從挑戰的角度，創業成功更具挑戰。從更廣泛的角度，社會本身是個大系統，是施展才華的更大戰場。4) 本人篤信社會價值創造理論，不創造社會價值的事都走不遠。

14. 最近在研究什麼不違法的新技術？違法的咱們就別說了。

Seeker：1) 開源行動通訊專案，基礎／平臺性質；2) 4G／5G安全測試平臺，測試基帶安全；3) 定位和攻擊偽基站；4) 運營商安全路測，測試基站配置隱患，眾包方式。

15. 主業是商人，業餘是這麼牛的黑客，能不能傳授一下經驗——業餘時間如何成功地鑽研黑客業務？

Seeker：1) 沒什麼經驗。人的精力都是有限的，我在黑客技術上的突破，通常發生在創業失敗或主業的低谷時期。所以，根據目前我的技術表現，可以很容易的反推出我在企業發展上遇到了困難。

2) 保持技術不落伍，我有些經驗：掌握原理看透本質，堅決拿下生命週期長的基礎原理／核心技術，不在那些快速變化的浮華外表和細枝末節上浪費時間。

3) 另外補充一下，我不認為自己是商人。成功的企業家一定同時是成功的商人，但成功的商人不一定是成功的企業家。我雖然還算不上是成功的企業家，但從我決定創業的第一天，就是受企業家精神的驅動。

4) 之前我說過自己是個技術派，所以我以泛技術的視角來看待這個世界，我認為研發是技術，營銷是技術，財務是技術，管理是技術，創業也是技術，這個世界就是一個技術的世界，只要是技術的，都應該不難掌握。如果說黑客技術是在一個比較窄的領域的一種智力遊戲，那麼在這個廣闊的世界裡創業和競爭，就更是一種有挑戰有成就感的智力遊戲。我花了更多精力在研究怎麼做企業，比投在安全領域的精力多多了，從技術角度看已掌握了做企業的很多知識，按理說早該有所建樹了。後來我發現我錯了，這個世界是個複雜系統，而且很多東西比如管理即是技術同時也是藝術。複雜系統包含著不確定性，不是簡單的邏輯推演成立結果就必然成立，這個跟黑客的數字世界是不一樣的。所以，當我在現實世界受挫之後，跑回到數字世界去尋找 100% 掌控的感覺，也算是一種心理治療吧。

16. 之前你還說過喜歡當面和同業人員交流，上次去360獨角獸實驗室，說了什麼了不得的事情？

Seeker：1) 我喜歡遍尋天下高手交流切磋技術，經常陌生拜訪認識新朋友。2) 國內研究無線安全的氛圍不濃，難得有一個專門研究無線安全的團隊，大家惺惺相惜。3) 答應擔任獨角獸團隊的榮譽顧問，未來可能會有研究合作。

17. 為了表明此次講座確實是為了建設和諧社會，請再和諧地說說自己做黑客的初衷以及以後的想法。

Seeker：1) 本次講座是為了推倒簡訊驗證碼這種不安全的認證機制，也許推倒很困難，但總要有人推。2) 黑客技術只是智力遊戲，是業餘愛好。這個世界終究是機構比個人更有力量，建設比破壞更有價值。我更渴望做的是建立一個生態型經濟組織，專注某一自己擅長領域的社會價值創造，以共同願景和高效率的價值創造來吸引和凝聚社會資源為自己所用，組織應能自我學習成長變異進化，並最終能真正推動所在領域的社會進步。這個野心和願景更吸引我。3) 打擊黑產，不遺餘力。4) 如有戰事，當為國效力。5) 願各種形式支援安全領域的創業公司。

18. 想對宅客頻道的讀者說什麼？

Seeker：1) 黑產沒未來，回頭是岸。2) 建設永遠比破壞更有價值，安全本身和安全以外的創新研發需要建設型人才。3) 希望有更多的人來玩無線通訊和通訊安全。4) 如果你有興趣一起玩通訊安全，有能力和精力一起做無線通訊領域的開源專案研發，請跟我聯絡，我的微信：70772177。

讀者提問：如果簡訊驗證碼的機制不安全，哪些驗證方式是相對可靠，能替換它的？

Seeker：這個問題早有答案：就是雙因子或多因子認證。問題在於過份照顧使用者體驗和競爭導致使用者數增長的壓力，使得商家普遍不願意第一個部署雙因子認證系統。誰能提供一個不顯著降低使用者體驗的安全認證系統，肯定會有很大的商機。

讀者提問：手機Kali怎麼攻擊？（簡單探討下理論吧，防止警察蜀黍追捕）

Seeker：安卓手機上安裝NetHunter後，就是一部黑客手機，經常用做WIFI攻擊，USB口插上SDR可以做GSM偽基站，但是不足以支援LTE。

讀者提問：如何評價360在 DEF CON 上展示如何黑掉 4G LTE 手機？ 

Seeker：很好，為國爭光，中國人適合做安全，國際黑客大會上理應有更多中國黑客去分享。