一種避免4G手機網絡降級后被短信嗅探的方法

金明宇

摘 要：4G網絡的安全性很高，但是協議里面仍然留下了一些漏洞。針對這些漏洞的4G網絡犯罪已經出現。這種犯罪行為會結合2G技術，來非法獲取用戶的通信信息，造成用戶財產損失。本文分析了4G降級+2G短信竊聽的組合攻擊特點，從終端側提出了一套完整的檢測及規避機制，該機制經驗證在現網是可行的。

關鍵詞：4G網絡降級 信號質量 信號干擾 重定向信息 GSM短信嗅探 位置更新

中圖分類號：TP27 文獻標識碼：A 文章編號：1672-3791（2018）12（a）-00-03

1 4G降級+2G竊聽組合攻擊的描述

近來社會上出現了多起利用4G偽基站或干擾器結合2G短信嗅探設備，在深夜人們毫無防備的時候，對駐留在4G的手機進行誘導降級到2G，同時結合非法渠道獲得的受害者身份證號碼、銀行卡號、支付平臺賬號等其他敏感信息，通過非法截獲受害者短信驗證碼，來實施盜刷受害者銀行卡、侵害受害者資產等犯罪行為，給受害者造成很大的財產損失和不便。

2 目前應對措施

針對這種新型的犯罪方式，不少行業內部專家認為手機用戶沒有很好的應對辦法，建議手機夜間關機或開啟飛行模式，只連接WiFi。在這種情況下，手機終端在運營商網絡側處于關機狀態，網絡是不會給手機發送任何消息的，但是這樣做會讓用戶面臨另一個問題，那就是夜間需要緊急聯系時無法聯系上。

3 攻擊手段分析及手機側應對方案

針對第一節描述的問題，我們可以看出這種犯罪方式主要利用了通信協議里面的幾個漏洞。

LTE協議3GPP TS 24.301章節4.4.4.2規定了絕大部分NAS信令消息需要加密保護，但是有下面一些例外：

IDENTITY REQUEST （if requested identification parameter is IMSI）；

AUTHENTICATION REQUEST；

AUTHENTICATION REJECT；

ATTACH REJECT （if the EMM cause is not #25）；

DETACH ACCEPT （for non switch off）；

TRACKING AREA UPDATE REJECT （if the EMM cause is not #25）；

SERVICE REJECT （if the EMM cause is not #25）

偽基站正是利用了這一點，在捕獲到用戶UE后，誘導UE發起位置更新，在這過程中，下發身份驗證請求IDENTITY REQUEST。由于協議規定UE對于這個消息在安全環境建立之前即可處理，所以UE在IDENTITY RESPONSE中返回自己的IMSI。同樣，IDENTITY RESPONSE也不需要加密（3GPP TS 24.301 4.4.4.3）。隨后偽基站下發ATTACH REJECT或TRACKING AREA UPDATE REJECT，并在RRC Connection Release消息里面附帶重定向信息RedirectedCarrierInfo（圖1），指示終端UE從LTE遷移到GSM網絡，在無安全性的2G網絡實施進一步的非法行為。

GSM下通信內容明文傳輸。由于歷史原因，聯通移動GSM的數據傳輸使用明文進行，導致短信甚至電話極易被竊聽。短信竊聽設備不像2G偽基站，全程不會發射無線信號，它只是監聽GSM空中信道并進行解碼，提取出感興趣的特定內容。這樣的犯罪行為更隱蔽，極難被發現。

對于使用4G信號干擾器的情形，終端感受到的只是4G信號質量持續下降，最后為了保證用戶的通信，終端不得不發起跨系統，即從4G到2G的重選。這個攻擊主要是針對中國移動用戶，因為移動的3G網絡覆蓋較差，而GSM網絡建設較好，覆蓋較廣。大部分手機從4G掉網后，能找到的就是2G網絡。

如果我們只是建議用戶晚上關機或打開飛行模式，雖然可以避免網絡下發短信，但是帶來的不便也是不言而喻的。

在這里我們提出了一個手機側的保護方案，該方案的主要思想是終端自我評估環境的安全度，包括LTE基站的可信度，無線環境的安全度，根據這個安全度，對后續操作采取不同的應對措施。

根據統計，這類非法攻擊主要發生在深夜，人們毫無戒備的時候。所以我們將設置23：00到次日凌晨5：00，作為高危時間段。在這個時間段內，執行如下檢測算法。

（1）手機上層定期收集傳感器信息，如位置信息，陀螺儀信息，據此判斷手機是否有大范圍移動。同時收集基帶上報的4G小區信息，如小區id、小區信號質量。

（2）如果4G小區id未變化，手機位置也未發生大的移動，但是4G小區信號質量在短時間內快速下降到門限值以下，以至于需要發起LTE到GSM的切換，那么將變量possible_lte_attack設置為true。

（3）如果手機位置未發生大的移動，當前LTE小區信號質量也較穩定， 但是出現了一個更好的LTE小區，使得UE需要重選到新小區。而重選過程中在位置更新時，基站一直沒有下發鑒權要求消息（Authentication request），相反只下發了IDENTITY REQUEST，在UE上報了IMSI后Reject了UE的位置更新請求，那么將變量possible_lte_attack設置為true。

（4）在possible_lte_attack為true的情況下，如果當前LTE小區通過RRC Connection Release消息下發了重定向到2G小區的信息，那么手機忽略該消息，并將當前小區置入禁止小區列表，同時發起LTE小區重選，possible_lte_attack恢復到false。

（5）在possible_lte_attack為true的情況下如果UE通過自己搜網找到了信號最好的GSM小區，接著要做小區選擇及位置更新（Location Update）。在這個過程中UE上報自己的能力，將短信能力（sms capability）關閉（圖2）。這個做法的目的是為了通知網絡，不要給該用戶下發短信，從而避免短信被竊聽的可能。在聯通和移動的現網實驗中，一旦將短信能力關閉，那么手機就不會受到網絡下發的MT短信。如果關閉短信能力之后，UE還是受到了小區下發的SMS，那么該小區應該就是GSM偽基站，UE將該小區放入小區禁止列表，發起GSM的小區選擇。同時保持possible_lte_attack為true。

（6）UE駐留在GSM的同時，仍然需要定期掃描LTE網絡，如果發現了可用的LTE小區，那么UE需要返回LTE，向信號最好的可用LTE小區發起位置更新。如果新LTE小區通過了雙向的鑒權，那么possible_lte_attack恢復為false。

（7）在possible_lte_attack為true的時候，手機在界面上提示用戶可能受到偽基站攻擊，GSM短信能力被暫時關閉了。用戶可以選擇是否繼續啟用短信服務。如果用戶啟用短信服務，那么UE重新發起位置更新，上報自己短信能力啟用（見圖3）。

（8）手機離開高危時間段時，將possible_lte_attack恢復為false，向網絡通知啟用短信，同時禁用上述檢測邏輯。具體高危時間段的設置可以通過菜單顯示給用戶，并允許用戶自己定義。

4 結語

本文展示的方案基于對目前出現的LTE降級和GSM竊聽的行為特征分析，評估手機受到非法通信攻擊的可能性，通過臨時關閉手機短信能力來避免可能發生的短信被竊聽的危險。這種方式既能夠保護用戶的安全，又避免了深夜對用戶的提醒，具有一定智能，同時保留了語音通話能力，不會使用戶失去通信聯系，是一種實用性較高的方案。

參考文獻

[1] LTE降級+GSM竊聽攻擊實例“這下一無所有了”[EB/OL].https：//www.douban.com/group/topic/121312665/.

[2] “新技術詐騙讓不少人損失慘重！警方提醒注意以下問題”[EB/OL].https：//baijiahao.baidu.com/s？id=1607948319082612267𝔴=spider&for;=pc.

[3] 網絡安全實踐指南——應對截獲短信驗證碼實施網絡身份假冒攻擊的技術指引[EB/OL].https：//www.tc260.org.cn/file/zn2.pdf.

[4] 3GPP TS 24.301 LTE Non-Access-Stratum（NAS）protocol for Evolved Packet System（EPS）Stage 3[EB/OL].http：//www.3gpp.org/ftp//Specs/archive/24_series/24.301/24301-f40.zip.

[5] 3GPP TS 24.008 GSM/UMTA/LTE Mobile radio interface Layer 3 specification Core network protocols Stage 3[EB/OL].http：//www.3gpp.org/ftp//Specs/archive/24_series/24.008/24008-f40.zip.