4G安全吗？——通过SMS攻击USB调制解调器及SIM卡

电信运营商正在推广快捷低廉的4G通讯技术。然而，只有寥寥数人知道到底4G的安全性有多令人担忧。PositiveTechnologies专家在研究4G通信的安全性时，发现了USB调制解调器中存在漏洞，允许攻击者完全控制联网计算机并访问移动运营商入口的订阅账户。此外，通过使用二进制短信可对SIM卡发动攻击，允许入侵者嗅探并解密流量或者锁定SIM卡。

本文将对研究成果进行展示。这一研究成果的主要目的不仅仅是为了说明流行智能手机中的安全问题，而且更重要的是，多个关键基础设施如工业控制系统（SCADA）也是基于GSM标准实施数字移动通讯。再举个例子，没有人希望自己的银行卡被盗。然而，你可能也发现了ATM机上的小天线，它也是GSM。

现代无线调制解调器是一台使用流行的操作系统（通常是Linux或安卓）以及许多多功能应用程序的计算机。软件及数据传输协议包含一些攻击者在过去几年中所利用的漏洞，比如将调制解调器解锁或者从操作系统予以解除。为了达到“牵一发而动全身”的效果，许多服务被转移到了web。然而这导致了更多漏洞的发生。

为了实现研究目的，我们使用了含有30种不同固件版本的6种系列的USB调制解调器。其中仅有3种固件能抵御入侵。对于剩下的固件，我们所做的工作包括：首先我们利用文档以及搜索引擎确定了装备（gear）。其中在一些情况下，谷歌还为我们提供了访问Telnet的密码。

然而，在外部通讯中我们所需要的是http而不是Telnet。这种情况仅需将调制解调器连接至一台电脑并且将它作为web应用程序中一个独立的网络节点。这样便可通过浏览器（CSRF、XSS、RCE）发动攻击，并且强制调制解调器释放出一些关于自身的有用信息。

除获取数据外，我们还可以利用调制解调器做到以下事情：

l 更改DNS设置（嗅探流量）

l 更改SMS中心设置（拦截并干扰SMS）

l 通过发送SMS更改自助服务入口的密码（通过订阅第三方服务来转移钱）

l 通过故意输入错误PIN或者PUK代码来锁定调制解调器

l 将调制解调器的固件远程“更新”至易受攻击的版本

此外，还可通过访问连接到被入侵调制解调器的计算机进行进一步的攻击。其中方法之一是安装一个USB键盘驱动器，这样计算机会将调制解调器识别为一个输入设备。利用这个伪键盘从外部磁盘（也就是相同的调制解调器）发布重启系统的命令。这样剩下要做的事情就是安装允许远程控制设备的bootkit。具体步骤可参见本文视频演示（请见原文）。

一般用户需要采用的应对措施是停止将各种各样的东西插入USB端口。“各种各样”也指那些看起来是小而无害通讯设备的看似无害的USB调制解调器。

研究的第二个部分是SIM卡。一张SIM卡就是装有操作系统、文件系统以及多功能应用程序的一台计算机。正如德国密码破译者Karsten Nohl展示的那样，SIM应用程序（TARs）受到多种方式的保护。其中一些方法可通过暴力破解DES密钥的方式实行。一些会对不受任何保护的外部命令作出回应，并且释放出许多敏感信息。

为了暴力破解DES密钥，我们使用了一系列现场可编程闸阵列（FPGA）。这个阵列几年之后成为挖掘比特币的流行方式，并且随之降价。我们的8个模块*ZTEX 1.15y板（价格为2000欧元）的速度是245.760 Mcrypt/秒。它足以在三天时间里获取这个密钥。

然后我们很轻松地向TARs发出命令并对它们进行管理，例如，Card Manager允许在SIM上安装一个Java应用。

另外一个关于TAR让人好奇的地方在于存储TMSI（临时移动用户身份）及Kc(加密密钥)的文件系统。我们可以通过一个二进制SMS来实施以下行动：

l 解密用户流量，但不使用对DES的暴力攻击

l 欺骗用户身份（接收用户电话及短信）

l 追踪用户行踪

l 如果启用PIN码保护文件系统，通过连着输入3次错误的PIN码以及10次错误的PUK代码来引发DOS攻击。

值得注意的是，以上所描述的攻击不但可以成功规避A5/1（2G网络最常用的手机加密算法），而且还可以规避3G及4G的更强版本。

最后，让我们看一下基础统计数据。我们使用了来自不同地方的100多张SIM卡进行研究，其中约20%的SIM卡出现之前所提及的漏洞，这意味着每五张SIM卡便存在着漏洞。

即便如此，为终端用户提供安全建议依然十分困难。因为这些攻击大多针对根本的技术级别的漏洞，因此这些漏洞应该由制造商及电信运营商来修复。媒体已将这一研究撰文为《上亿张SIM卡及4G调制解调器出现SMS漏洞》。

本文由测腾代码卫士编译，不代表测腾观点，转载请注明“转自测腾代码卫士www.codesafe.cn”。