有防範GSM劫持簡訊的方法嗎？

 霍興凱

聚眾互動 CTO，曾經 NGN 開發者，網路安全從業人員

GSM支援歷史回顧：

• 2008年 Burning Man (火人節) 上用 OpenBTS 假設了第一個軟硬體全開源 GSM 服務網路測試系統。

• 2012年 國內偽基站大範圍流行，強大的“華強北”和“通訊民工”把整套系統售價從兩萬美金以上做到了五千人民幣以下。從需要筆記本連線多個裝置到一體化盒子用手機遠端操作。從可行技術方案可用到成熟的“應用場景”大概用了3年時間。

• 2009年 GSM A5加密演演算法被髮現有缺陷，到2012年用幾塊家用級別的 GPU 幾秒鐘內破解大部分加密通訊。

• 2010年 OsmocomBB 釋出了第一個開源的 GSM 客戶端協議和裝置驅動。

• 2012年 GSM 嗅探技術方案已經很成熟，14年以後中文社群有了大量教程，到最近的驗證碼事件，爆出廣泛的攻擊事件過了八年。

• 2014年 中國移動 4G網路開始廣泛部署後，4G訊號壓制系統也開始普遍應用。

• 2008年 OpenBTS 組網時，就暢想過 GSM 網路的攻擊場景，到今天的攻擊實體過了十年，更高階的中間人攻擊還沒有公開的報道，技術很成熟，硬體成本只有千元以內。

GSM 截獲驗證碼的解決思路：

技術層面：把網路鎖在 4G only 樣式即可，但三大運營商的推的網路接入選單現在都取消了4G only 樣式。

應用層面：把需要手機驗證的都填寫一個備用手機號，此手機平時不開機盡在需要接收驗證碼時候開機，在應用場景上躲開 GSM 嗅探攻擊。

gjden（甘傑）

看雪智慧硬體版主&啟明星辰ADLab高階安全研究員

把4G降級成2G，利用GSM嗅探工具再嗅探或者用2G偽基站來做中間人劫持。也不是什麼新技術，幾年前都有了。

攻擊原理：

原理也較簡單，利用4G偽基站發出強幹擾訊號把周邊的3G/4G訊號遮蔽，大部分手機會選擇降級到2G進行通訊，這個時候就可以利用GSM嗅探工具了，還可以利用4G偽基站來引導手機連線到2G偽基站，把2G偽基站作為中間人進行簡訊的劫持。雖然駭客攻擊時有短暫的訊號消失、無法傳送簡訊或者打電話，但是如果駭客真的在晚上進行作案，一般人基本上也察覺不了。

防範措施：

1、移動APP單純依靠簡訊驗證是有風險的，最好是將簡訊驗證和靜態密碼兩者結合起來更加安全。

2、一個方面靠運營商來升級完善，但是短時間內不現實。

3、利用偽基站探測器來定位偽基站，比如偽基站在做訊號幹擾時，可以發現異常訊號源，當偽基站開啟後其改寫區域的下行質差比例會顯著增加，主服小區LU統計次數會大幅增加等等。當發現偽基站存在後可以根據訊號趨強來發現偽基站。

王啟澤

啟明星辰ADLAB安全專家、看雪硬體安全小組成員

要達到新聞報道的那種簡訊劫持的攻擊，攻擊者可能是：

1、利用偽基站進行攻擊，截獲使用者的簡訊。

2、利用使用者洩漏的賬戶和密碼進入手機的雲備份平臺，獲取使用者相關的簡訊內容。  

3、在使用者的手機上安裝木馬，透過木馬截獲使用者簡訊。

如果攻擊者是利用偽基站進行攻擊的話，那麼問題出現在：

1、2G網路的單向鑒權及資料不加密造成的。

2、不少電商平臺及網銀平臺仍使用不安全的簡訊驗證方式作為主要業務辦理的使用者驗證手段之一，為攻擊者創造了條件。

3、如果當時受害者的手機是在2G網路上，說明黑產的技術從偽基站升級到了簡訊嗅探及中間人攻擊。

4、如果當時受害者的手機是在4G網路上，那麼黑產的技術水平已經掌握了將使用者終端從4G網路降維到2G網路的能力，

那這個對我們來說是影響比較大的，這意味著黑產對現網大量的4G使用者造成威脅。

解決辦法：

1. 普通使用者用於電商及網銀業務的銀行卡存放少量必備金額即可，避免因為被駭客攻擊造成重大財物損失。

2. 普通使用者手機的網路樣式儘量選擇在4G/3G/2G優先的樣式，讓使用者手機優先使用4G網路。

3. 關閉手機的簡訊雲備份功能。

4. 手機不要安裝來路不明的APP。

5. 在一些城市的對安全要求高的4G使用者可以申請開通VoLTE業務，不過這個可能要耗費使用者的4G流量。

6. 運營商儘快將4G使用者的簡訊及語音業務全面切到VoLTE。

7. 電商及網銀平臺改進驗證方式，盡可能採用多種安全又便捷的驗證組合方式來驗證使用者身份。  

gowabby

綠盟科技安全工程師 & 看雪硬體小組成員

GSM嗅探是一直較為針對性的攻擊方式，主要是針對標的者進行竊聽從而進行資訊收集的一種方式，並且已經被應用到民用竊聽已經很久很久了。早在烏雲時期，從13年以後每一屆峰會基本上都包括GSM嗅探和偽基站的綿羊牆進行展示。

嗅探與劫持不同：

• 劫持是主動的、會被髮現的，也就是說如果配合一些手段是可以偵測的，現在已有針對4G的劫持方案了；

• 嗅探是被動的不容易被髮現，現在保證方案都不是很好，因此只能期待運營商進行整改了。

偽基站也是一種主動攻擊，現在檢測方法很多了。

當時其實已經出過多起案例了，和現在出現的案例一模一樣，不同的地方當時最多3G，現在都是4G了。現在的攻擊還有採用4G拒絕服務降到GSM的攻擊方式，其實不用那麼麻煩，現在通話和簡訊大部分依然採用GSM。

那現在說一下最近火的話題湊湊熱鬧，被攻擊者被攻擊的問題都存在哪裡呢？

我們按照一步一步的分析角度，首先是手機網路：

國內在通訊網路方面採用了兩種（在3G以下網路）一種GSM運營商，一種CDMA運營商。CDMA也不是很安全，網路協議都是存在一定問題的。GSM的網路主要存在包括偽基站和GSM嗅探的攻擊方式，偽基站已經很熟悉了，但GSM嗅探在大眾眼中還不是很熟悉（但在圈內已經爐火純青了）。

略過如何把4G降到GSM的網路的步驟不談，利用偽基站和GSM嗅探定向攻擊的思路：如果想定點攻擊可以先進行一個區域的長期簡訊收集，此套單點裝置可以使用樹莓派加資質電源外加嗅探套件成本1000左右，實行分散式嗅探，然後選取使用者，進行定向攻擊，這裡可以配合偽基站誘發一些攻擊，也可以透過直接嗅探收集使用者的使用痕跡進行。總之方法很多，當然現在聯通已經在推進取消GSM網路的方案了。

再則是金融平臺，正常來說一個合理的金融平臺有完整的效驗機制來保護客戶資產，通常我們在系結銀行卡時要效驗卡和平臺者是否符合，不符合不可以進行提現和轉賬功能，並且交易時要存在交易密碼，因為交易密碼走的是網路，而且大部分都是加密的，因此就可以降低一定風險。

如何測試自己是不是還用GSM呢？

Android的移動、聯通使用者，關閉4G網路後測試打電話是否能打通，能打通就有可能存在風險。如果想確定是不是妥妥的存在風險，可以購買GSM嗅探套件（約50塊），建議買8套這樣穩定一點，測試簡訊嗅探。GSM在傳輸過程中採用A5加密演演算法，有時候還可以採用不加密，這樣按規律解密即可。

那我們現在能怎麼防止該問題再次發生呢？

第一、不用GSM網路，對方嗅探不了你的簡訊資訊。

第二、金融平臺要用安全的，這樣對方即使使用你手機，但如果沒有你詳細身份資訊無法進行下一步操作。