去年,11 個 5G 漏洞被研究人員發現的事,不少安全業內人士表示被這個消息震驚。
原因在於,普渡大學與艾奧瓦大學安全研究人員發現的這些漏洞可被黑客利用對用戶進行實時位置追蹤監視、觸發緊急警報或神不知鬼不覺的讓 5G 手機掉線。
事實上,這些 5G 漏洞造成的影響還不止這些:可用於跟蹤受害者的實時位置,將受害者的服務降級到舊的移動數據網絡,增加流量耗費,跟蹤受害者撥打的電話,發送的簡訊以及瀏覽的網絡記錄,影響 5G 連接的電話與網絡。
吃瓜群眾也懵了:「what,我還沒開始用呢,就出現這麼多漏洞,這可怎麼辦」?
但有矛就有盾,安全研究人員也不會放過這些漏洞的。
9 月 11 日,騰訊數字生態大會的 5G 專場上,騰訊安全科恩實驗室專家研究員 Marco Grassi 帶來了關於 5G 安全的主題分享,並披露了實驗室在 5G 安全方面最新的研究成果。
科恩實驗室通過對 5G 基帶模塊漏洞的利用,遠程改變了一臺 5G 手機的 IMEI 串號信息。據悉,科恩實驗室是全球範圍內第一個公開達成 5G 漏洞利用的團隊。
會後,科恩實驗室就此次研究成果接受了雷鋒網的採訪,一起來聽聽科恩實驗室在研究 5G 漏洞利用背後的故事。
5G 漏洞利用研究有哪些亮點?
首先 ,我們先來看下科恩實驗室是如何利用 5G 漏洞進行攻擊的。
據騰訊安全科恩實驗室專家安全研究員 Marco 介紹,他們首先自己搭建了一個基站,即 SDR (用來構建行動網路的設備),從 5G 基帶模塊的漏洞入手完成了完整漏洞利用,實現基帶處理器上的代碼執行。利用這個漏洞,攻擊者可以進行除了 IMEI 號篡改之外的更多惡意操作,例如數據竊取、電話攔截或者監聽設備語音等。整個利用過程非常隱秘,從用戶角度完全察覺不到攻擊的發生。
目前,科恩實驗室已經將漏洞報告給廠商。
可能有童鞋還不知道 IMEI 是什麼,先給大家科普下:
IMEI, International Mobile Station Equipment Identity,國際行動裝置識別碼,俗稱「手機串號」、「手機串碼」、「手機序列號」,用於在行動網路中識別每一部獨立的手機,相當於手機的身份證號碼。IMEI 碼適用於GSM、WCDMA、LTE 制式的行動電話和衛星電話。
全球每部通過正規渠道銷售的 GSM 手機均有唯一的 IMEI 碼。IMEI 碼由 GSMA 協會統一規劃,並授權各地區組織進行分配,在中國由工業和信息化部電信終端測試技術協會(TAF)負責國內手機的入網認證,其他分配機構包括英國 BABT、美國 CTIA 等。
IMEI 由 15 位數字組成,其組成為: IMEI = TAC + FAC + SNR + SP。
IMEI 碼具有唯一性,貼在手機背面的標誌上,並且讀寫於手機內存中。它也是該手機在廠家的"檔案"和"身份證號"。
如果攻擊者要攻擊你的手機,首先就會從這裡下手。
舉個例子,大家就明白了。
315 晚會上曾經揭露過一系列 IMEI 克隆騙局。
如果你在不正規渠道購買了所謂的「二手 iPhone」的話,一旦運氣不好碰到了奸商,那麼你的手機隨時被遠程鎖定,要麼交錢解鎖,要麼手機報廢。
據 315 晚會當時的報導,市民張先生的一部 iPhone5S,被人遠程鎖定,求救無門,遭解鎖人坐地漲價:張先生由於不甘心這麼輕易地就妥協,於是嘗試了各種辦法,但都無果,最終只能交錢解鎖。
那麼,如何避免此類攻擊呢?
騰訊安全科恩實驗室高級安全研究員朱夢凡也給出了答案:
從廠商的角度來考慮,理論上找到這個漏洞,並且修復掉,當然也可以添加各種漏洞緩解措施,去增加漏洞利用的難度。甚至可能讓這個漏洞無法利用。如果漏洞被成功利用的話,理論上技術層面不能分辨這個終端是否是正常。所以整個的防禦的思路應該放在漏洞利用之前。比如說 5G 手機會著重強調對基站身份的驗證。只要基站運轉正常,基站本身是良性的,攻擊就很難,在一定程度上保證了一定的安全性。
這樣,我們也就很容易能理解科恩實驗室這一研究成果的現實意義了。
5G 漏洞利用的現實意義
科恩實驗室的這一研究的一個重大意義就在於,為 5G 安全排除了一份潛在的危險,如前文所述,這種攻擊幾乎是不露痕跡的,一旦攻擊者實施攻擊,用戶是無法感知的。但如果廠商和用戶知道了這一潛在風險,就會在這個環節重視起來,避免發生不必要的危險。
另一方面,對於 5G 整體的發展來說,這一研究的意義也是很重要的。
Marco 介紹道,對於未來可能連5G 絡的終端設備和物聯設備的數量,業界有不同的估計。不同的估計數字有所差異,但是它們基本都同意未來使 5G 絡的終端設備將達到數億的規模,使 5G 絡的物聯設備更將是終端設備的 20 倍。
問題的關鍵在於,為了使消費者,包括我們的戶可以享受到 5G 絡技術帶來的便利,我們不僅要保證 5G 絡的功能完好,同時也必須保證其是安全的。
騰訊安全科恩實驗室高級安全研究員也表達了同樣的看法:
5G是國家發展新基建的重點之一,作為安全研究人員,我們能做的就是挖掘基帶晶片中的漏洞,以攻促防,提高其安全性。這次研究,我們實現了基帶上的任意代碼執行,這個效果從一個攻擊者的角度來說的話,已經是基帶上的最高權限。如果想達到這一效果的話,通常是需要找到基帶上面的一些內存破壞漏洞,通過構造帶惡意數據劫持處理器的執行流來進行攻擊。
除此之外,科恩實驗室也表示,下一步他們將會研究更多不同的廠商。期望未來發現更多非常高危的漏洞,幫助整個產業提升安全性。
科恩實驗室什麼來頭?
那說了這麼多,騰訊科恩實驗室究竟什麼來頭?
根據其官網的介紹,騰訊科恩實驗室(Keen Security Lab of Tencent)成立於 2016 年 1 月,專注於國際範圍內主流作業系統、網際網路和移動網際網路應用、雲計算技術及物聯網設備的前沿安全攻防技術研究。其成員主要來自於 2014 年被騰訊收購的國際知名安全研究團隊Keen Team。
科恩實驗室把使命定義為「守護全網用戶的信息安全」,不僅研究移動端安全,還向物聯網、智能網聯汽車、IoT 安全、雲計算等各個領域發力。
從 2013 年開始,Pwn2Own 成為了這群極客的保留節目。2016 年,團隊達到了前所未有的高度。在3 月的 Pwn2Own 大賽上,科恩實驗室和騰訊電腦管家組成的聯合戰隊 Sniper 一舉拿下了 Edge、Safari、Chrome,總分 38 分,以超越第二名13 分之多的優勢摘得了「世界破解大師」。
不過最令大眾震驚的,還是那一次科恩實驗室實現了全球首次「遠程無物理接觸方式」入侵特斯拉汽車。
換言之,騰訊的研究人員坐在辦公室裡,就能於千裡之外,直接遙控別人的特斯拉汽車,理論上全球任何一輛特斯拉都跑不了。
在停車狀態下,可以遠程解鎖車輛、打開天窗、轉向燈和調節座椅等,駕車時則可以啟動雨刷、收起後視鏡、打開後備箱等,而正常情況下的特斯拉在行駛中是無法打開後備箱和收起後視鏡的。
更危險的是,遠程剎車都可以做到,研究人員也展示了低速情況下的突然剎停,並且在剎車過程中,剎車燈不亮,車門卻處於解鎖狀態。 「愛玩」的他們甚至還讓特斯拉跟著音樂節奏來了一場車燈搖擺。
事後,科恩實驗室將所有漏洞數據都交給了特斯拉官方。推動特斯拉快速修復了這些漏洞,保證車主的的安全。
為了表彰科恩實驗室的貢獻,他們還獲得了特斯拉官方的公開致謝和「漏洞獎金」。這一消息甚至驚動了馬斯克,他們收到了矽谷「鋼鐵俠」的親筆致謝信。
黑了別人的車,還拿到了獎狀和獎金,真是令人窒息的操作...
不過「黑車」這項技術,對於他們來說也是基本操作了,當然也包括這次的 5G 漏洞利用研究。
雷鋒網雷鋒網雷鋒網