電信運營商正在推廣快速廉價的4G通信技術。然而,只有少數被選中的人才知道這有多不安全。在研究4G通信的安全級別時,積極的科技專家設法發現USB數據機漏洞,使潜在的攻擊者能够完全控制連接的電腦,並訪問移動運營商門戶上的使用者帳戶。此外,使用二進位短信息對SIM卡的攻擊允許入侵者偵測和解密流量或鎖定SIM卡。該小組在2014年太平洋安全會議(東京)和31C3(漢堡)上提交了有關該主題的報告。在本文中,我們將向您介紹由謝爾蓋·戈爾德伊奇克、亞曆山大·紮伊采夫、基裏爾·內斯特羅夫、阿列克謝·奧西波夫、蒂穆爾·尤努索夫、德米特裡·斯克裡亞羅夫、格勒布·格裏塞、德米特裡·庫爾巴托夫、謝爾蓋·普贊科夫和帕維爾·諾維科夫進行的這項研究的摘要。
首先,我們想就研究的主要目的說幾句話。我們在社交網絡中閱讀新聞不僅僅是為了時尚智能手機的安全問題。包括工業控制系統(SCADA)在內的多個關鍵基礎設施也實現了基於GSM標準的數位移動通信。日常生活中的另一個例子是你的錢從銀行帳戶上被偷了。沒人願意成為受害者。但你可能在自動取款機上看到了小天線。是的,也是GSM。
現代無線數據機是一種使用知名作業系統(通常是Linux或Android)和許多多功能應用程序的電腦。軟件和資料傳輸協定包含一些漏洞,攻擊者在過去幾年中已成功利用這些漏洞,例如解鎖數據機或從操作員處解除綁定。為了一下子解决這個問題,許多服務被轉移到了web上。但它導致了更多的漏洞。
為了研究的目的,我們使用了6個不同系列的USB數據機和30個不同的固件版本。只有3個固件被證明是抗駭客的。
我們對其他人做了什麼?首先,我們確定了裝備。檔案和搜尋引擎幫助我們做到了這一點。在某些情况下,Google甚至更有用:它為我們提供了Telnet訪問的密碼。
但是,對於外部通信,我們需要的是http,而不是Telnet。只需將數據機連接到電腦,並將其作為單獨的網絡節點與web應用程序進行管理。它使您有機會通過瀏覽器(CSRF、XSS、RCE)發起攻擊。這樣你就可以強迫數據機發出很多有用的資訊。
除了獲取數據外,我們還可以使用數據機執行以下操作:
- 更改DNS設定(偵測通信量),
- 更改短信中心設定(攔截和干擾簡訊),
- 通過發送短信(通過訂閱協力廠商服務轉帳)更改自助服務門戶上的密碼,
- 通過故意輸入錯誤的PIN碼或PUK碼鎖定數據機,
- 遠程“更新”數據機固件至易受攻擊的版本。
您可以通過訪問連接到被駭客攻擊的數據機的電腦來進一步推進攻擊。一種方法是安裝USB鍵盤驅動程序,這會使電腦將數據機識別為輸入裝置。使用這個偽鍵盤發出命令,從外部磁片(也就是同一個數據機)重新啟動系統。接下來要做的就是安裝一個引導包,允許您遠程控制設備。您可以查看視頻以獲取視覺證據:
任何普通用戶都應該採取的最好的對策是停止將這個和那個插入您的USB埠。所謂“這和那”,我們還指看起來天真無邪的USB數據機,似乎是如此小巧無害的通信設備。
我們將研究的第二部分致力於SIM卡。SIM卡是一種具有作業系統、檔案系統和多功能應用程序的電腦,這一事實早就被證明了。正如德國密碼學家Karsten Nohl在積極駭客日會議上所展示的那樣,SIM應用程序(tar)受到不同管道的保護。有些你可能會用暴力來破解DES金鑰。有些人在沒有任何保護的情况下響應外部命令,可能會發出很多敏感資訊。
為了强力使用DES金鑰,我們使用了一組現場可程式設計閘陣列(FPGA),這在幾年前成為比特幣挖掘的潮流,在炒作結束後變得更便宜。我們的8個模塊*ZTEX 1.15y板的速度為245.760 Mcrypt/sec,標價2000歐元。3天內拿到鑰匙就夠了。
然後,我們可以輕鬆地向知名tar發出命令並對其進行管理;例如,Card Manager允許在SIM中安裝Java應用程序。
另一個奇怪的TAR是存儲TMSI(臨時移動用戶身份)和Kc(加密金鑰)的檔案系統。我們可以通過二進位簡訊執行以下操作:
- 解密訂戶流量而不使用對DES的暴力攻擊,
- 欺騙用戶的身份(接收他/她的電話和簡訊),
- 追跡用戶的行踪,
- 如果為檔案系統保護啟用了PIN程式碼,則通過在一行中輸入3個錯誤的PIN程式碼和10個錯誤的PUK程式碼來導致DOS。
值得注意的是,上述攻擊不僅可以成功繞過A5/1(2G網絡中最常用的手機加密演算法),還可以繞過3G和4G中使用的更强大的加密版本。
最後,讓我們看看基本的統計資料。我們使用了100多張不同來源的SIM卡進行研究,其中約20%的SIM卡存在上述漏洞,這意味著每五張SIM卡都有缺陷。
即便如此,也很難向最終用戶提供任何安全建議。這些攻擊主要針對基本科技級別的漏洞,而修復這些漏洞是製造商和電信公司的任務。世界媒體已經將這項研究描述為“在數百萬張有缺陷的SIM卡上進行簡訊管理,這是一種流行的4G數據機”。