4G伪基站已来且危害更大
4G伪基站已来且危害更大...
本文来源公众号:网优老兵(微信ID:WhatsComm)
本号自2月中旬以来,差不多中断了近4个月时间。感谢两位行业内的朋友提供的一些信息,让我又重新激发了写作的欲望。
一、前文回望
前文《伪基站工作原理及其预防措施》中我们介绍了伪基站如何利用终端的漏洞,获得终端的标识信息,并向终端发送垃圾短信的技术方案。简单总结如下:
1、 伪基站设置为一个异常的TAC,使处于RRC空闲态的终端重选到伪基站,并请求更新路由区(TAU Request),获取终端的GUTI或IMSI;
2、 终端并不要求与网络进行双向的鉴权,使得伪基站在获取到GUTI或IMSI之后,可以构造出NAS消息DL Information Transfer伪装成路由接受(TAU Accept)消息直接发送给指定终端,并在其中携带CP-DATA(短信内容)给终端,完成垃圾消息的发送。
二、LTE伪基站来了
上文仅仅是基于GSM伪基站的工作原理去猜测LTE伪基站可能的实现技术方案。然而非常不幸的,在文章发出后不久就陆续听到有关LTE伪基站的存在。蒙一位朋友的协助,现将相关现场的信令截取情况发给大家共同学习。
1、与GSM伪基站一样,也是重选和TAU来实现与UE的第一次通信。相比于GSM通过设置CRO来增强伪基站的吸附能力。LTE更容易通过设置“系统内小区重选优先级”、“频点偏置值”和“小区偏置值”来增强伪基站的吸附能力。
2、一旦伪基站获取了UE的GUTI后,可以造出任何NAS消息(DLInformation Transfer)来伪装为TAU Accept消息用于传递数据(如CP-DATA)或要求终端上报其他信息(如UE IMSI)。
3、 从信令上识别伪基站
- 从UE侧的空口信令:没有与TAURequest对应的TAU Accept,而是DL Information Transfer。
- 从MME侧的NAS信令:UE在同一个TA以IMSI发起TAU Request,且EPS updatetype 为"TA updating"。
三、LTE伪基站危害更大
如上所述,伪基站除了能够被用于发送垃圾短信外。新型的伪基站更是实现了将伪基站与伪终端合体,“采用两头欺骗的方法,在移动网络和真正的用户终端之间建立起了联系,先冒充用户发起呼叫,当网络侧要验证用户身份时又诱骗真正的用户终端反馈身份信息,从而使得网络侧被欺骗”[1],用于做长途呼叫或者拨打声讯电话直接实现盈利。具体方法如下:
2、 伪基站广播系统消息,改变TA,使终端发起位置更新;
3、 伪基站给终端分配一条SDCCH信道,并向终端查询IMSI;
4、 伪基站变身为伪终端用获得的IMSI向正常的基站发起业务请求;
5、 利用终端完成鉴权SRES的计算,并回复给网络完成鉴权,同时获得加密密钥Kc;
6、 伪基站向任意的目标用户发起业务呼叫。
整个过程中有两处需要终端的配合,分别是获取终端的IMSI和鉴权、加密参数。可见,只要终端没有对网络进行鉴权,整个过程就会显得非常配合,那么这样的问题就不可避免。
由于盗打国际长途可以获得更大的利益,在这个案例中,伪基站主要布设在国际机场的国际到达出口,可以直接锁定目标客户——开通国际漫游通话,且有较大的花费预存。
四、小结
从上面的分析也可以看到,为了让终端保留SDCCH信道,伪基站一般不会给终端回复LA Response消息,以便伪基站可以利用SDCCH传递短信、获取IMSI和完成鉴权等操作。对于GSM来说,终端没有对网络做鉴权的机制,即使是LTE,目前也没有看到终端有对网络进行鉴权的案例。因此上述的问题将不可避免会发生,唯一的解决方案还是在于终端,即使终端被伪基站捕获了TMSI/GUTI或IMSI,只要不保留信令信道(SDCCH或SRB),伪基站就无法发送短消息或者通过网络鉴权。具体方案如下:
- 对于GSM终端:若UE之前发起了LAURequest消息,而接收Immediate Assignment的MM消息不是LAU Accept则直接做丢弃。
- 对于LTE终端:若UE之前发起了TAURequest消息,而接收DL Information Transfer消息不是TAU Accept则直接做丢弃。
[1] 中国移动内部资料。
本文来源公众号:网优老兵
如有版权问题,请联系我们处理
网优雇佣军投稿邮箱:wywd11@126.com
长按二维码关注
通信路上,一起走!
关注 网优雇佣军
微信扫一扫关注公众号
