霍兴凯

聚众互动 CTO，曾经 NGN 开发者，网络安全从业人员

GSM支持历史回顾：

• 2008年 Burning Man (火人节) 上用 OpenBTS 假设了第一个软硬件全开源 GSM 服务网络测试系统。

• 2012年 国内伪基站大范围流行，强大的“华强北”和“通信民工”把整套系统售价从两万美金以上做到了五千人民币以下。从需要笔记本连接多个设备到一体化盒子用手机远程操作。从可行技术方案可用到成熟的“应用场景”大概用了3年时间。

• 2009年 GSM A5加密算法被发现有缺陷，到2012年用几块家用级别的 GPU 几秒钟内破解大部分加密通讯。

• 2010年 OsmocomBB 发布了第一个开源的 GSM 客户端协议和设备驱动。

• 2012年 GSM 嗅探技术方案已经很成熟，14年以后中文社区有了大量教程，到最近的验证码事件，爆出广泛的攻击事件过了八年。

• 2014年 中国移动 4G网络开始广泛部署后，4G信号压制系统也开始普遍应用。

• 2008年 OpenBTS 组网时，就畅想过 GSM 网络的攻击场景，到今天的攻击实例过了十年，更高级的中间人攻击还没有公开的报道，技术很成熟，硬件成本只有千元以内。

GSM 截获验证码的解决思路：

技术层面：把网络锁在 4G only 模式即可，但三大运营商的推的网络接入菜单现在都取消了4G only 模式。

应用层面：把需要手机验证的都填写一个备用手机号，此手机平时不开机尽在需要接收验证码时候开机，在应用场景上躲开 GSM 嗅探攻击。

gjden（甘杰）

看雪智能硬件版主&启明星辰ADLab高级安全研究员

把4G降级成2G，利用GSM嗅探工具再嗅探或者用2G伪基站来做中间人劫持。也不是什么新技术，几年前都有了。

攻击原理：

原理也较简单，利用4G伪基站发出强干扰信号把周边的3G/4G信号屏蔽，大部分手机会选择降级到2G进行通信，这个时候就可以利用GSM嗅探工具了，还可以利用4G伪基站来引导手机连接到2G伪基站，把2G伪基站作为中间人进行短信的劫持。虽然黑客攻击时有短暂的信号消失、无法发送短信或者打电话，但是如果黑客真的在晚上进行作案，一般人基本上也察觉不了。

防范措施：

1、移动APP单纯依靠短信验证是有风险的，最好是将短信验证和静态密码两者结合起来更加安全。

2、一个方面靠运营商来升级完善，但是短时间内不现实。

3、利用伪基站探测器来定位伪基站，比如伪基站在做信号干扰时，可以发现异常信号源，当伪基站开启后其覆盖区域的下行质差比例会显著增加，主服小区LU统计次数会大幅增加等等。当发现伪基站存在后可以根据信号趋强来发现伪基站。

王启泽

启明星辰ADLAB安全专家、看雪硬件安全小组成员

要达到新闻报道的那种短信劫持的攻击，攻击者可能是：

1、利用伪基站进行攻击，截获用户的短信。

2、利用用户泄漏的账户和密码进入手机的云备份平台，获取用户相关的短信内容。  

3、在用户的手机上安装木马，通过木马截获用户短信。

如果攻击者是利用伪基站进行攻击的话，那么问题出现在：

1、2G网络的单向鉴权及数据不加密造成的。

2、不少电商平台及网银平台仍使用不安全的短信验证方式作为主要业务办理的用户验证手段之一，为攻击者创造了条件。

3、如果当时受害者的手机是在2G网络上，说明黑产的技术从伪基站升级到了短信嗅探及中间人攻击。

4、如果当时受害者的手机是在4G网络上，那么黑产的技术水平已经掌握了将用户终端从4G网络降维到2G网络的能力，

那这个对我们来说是影响比较大的，这意味着黑产对现网大量的4G用户造成威胁。

解决办法：

1. 普通用户用于电商及网银业务的银行卡存放少量必备金额即可，避免因为被黑客攻击造成重大财物损失。

2. 普通用户手机的网络模式尽量选择在4G/3G/2G优先的模式，让用户手机优先使用4G网络。

3. 关闭手机的短信云备份功能。

4. 手机不要安装来路不明的APP。

5. 在一些城市的对安全要求高的4G用户可以申请开通VoLTE业务，不过这个可能要耗费用户的4G流量。

6. 运营商尽快将4G用户的短信及语音业务全面切到VoLTE。

7. 电商及网银平台改进验证方式，尽可能采用多种安全又便捷的验证组合方式来验证用户身份。  

gowabby

绿盟科技安全工程师 & 看雪硬件小组成员

GSM嗅探是一直较为针对性的攻击方式，主要是针对目标者进行窃听从而进行信息收集的一种方式，并且已经被应用到民用窃听已经很久很久了。早在乌云时期，从13年以后每一届峰会基本上都包括GSM嗅探和伪基站的绵羊墙进行展示。

嗅探与劫持不同：

• 劫持是主动的、会被发现的，也就是说如果配合一些手段是可以侦测的，现在已有针对4G的劫持方案了；

• 嗅探是被动的不容易被发现，现在保证方案都不是很好，因此只能期待运营商进行整改了。

伪基站也是一种主动攻击，现在检测方法很多了。

当时其实已经出过多起案例了，和现在出现的案例一模一样，不同的地方当时最多3G，现在都是4G了。现在的攻击还有采用4G拒绝服务降到GSM的攻击方式，其实不用那么麻烦，现在通话和短信大部分依然采用GSM。

那现在说一下最近火的话题凑凑热闹，被攻击者被攻击的问题都存在哪里呢？

我们按照一步一步的分析角度，首先是手机网络：

国内在通信网络方面采用了两种（在3G以下网络）一种GSM运营商，一种CDMA运营商。CDMA也不是很安全，网络协议都是存在一定问题的。GSM的网络主要存在包括伪基站和GSM嗅探的攻击方式，伪基站已经很熟悉了，但GSM嗅探在大众眼中还不是很熟悉（但在圈内已经炉火纯青了）。

略过如何把4G降到GSM的网络的步骤不谈，利用伪基站和GSM嗅探定向攻击的思路：如果想定点攻击可以先进行一个区域的长期短信收集，此套单点设备可以使用树莓派加资质电源外加嗅探套件成本1000左右，实行分布式嗅探，然后选取用户，进行定向攻击，这里可以配合伪基站诱发一些攻击，也可以通过直接嗅探收集用户的使用痕迹进行。总之方法很多，当然现在联通已经在推进取消GSM网络的方案了。

再则是金融平台，正常来说一个合理的金融平台有完整的效验机制来保护客户资产，通常我们在绑定银行卡时要效验卡和平台者是否符合，不符合不可以进行提现和转账功能，并且交易时要存在交易密码，因为交易密码走的是网络，而且大部分都是加密的，因此就可以降低一定风险。

如何测试自己是不是还用GSM呢？

Android的移动、联通用户，关闭4G网络后测试打电话是否能打通，能打通就有可能存在风险。如果想确定是不是妥妥的存在风险，可以购买GSM嗅探套件（约50块），建议买8套这样稳定一点，测试短信嗅探。GSM在传输过程中采用A5加密算法，有时候还可以采用不加密，这样按规律解密即可。

那我们现在能怎么防止该问题再次发生呢？

第一、不用GSM网络，对方嗅探不了你的短信信息。

第二、金融平台要用安全的，这样对方即使使用你手机，但如果没有你详细身份信息无法进行下一步操作。