低成本IMSI捕捉器可以追踪手机的精确位置

阅读量252741

|

发布时间 : 2015-10-30 10:32:21

x
译文声明

本文是翻译文章,文章来源:安全客

原文地址:http://arstechnica.com/security/2015/10/low-cost-imsi-catcher-for-4glte-networks-track-phones-precis

译文仅供参考,具体内容表达以及含义原文为准。

https://p3.ssl.qhimg.com/t01cd45f8f12e08b102.png

研究人员已经发明了一种低成本的方式来发现使用最新LTE标准移动网络的智能手机的确切位置,这是一个改变人们原有看法的壮举,LTE标准不再免疫于各种类型的攻击了。

该攻击的目标是LTE规范,LTE预计到今年年底会有13.7亿人的用户群,且需要价值$ 1,400的的硬件来运行免费的开源软件。在约10至20米的范围内,该设备可引起所有兼容LTE的手机泄漏位置,在某些情况下,还可能泄露它们的GPS坐标,虽然这样的攻击可能会被精明的用户检测到。在城市环境中,使用一个单独的方法几乎不可能在约一平方英里的区域内探测出具体位置。

研究人员设计了一个单独的攻击类别,导致手机断掉和LTE网络的连接,这样一个脚本可以用来安静地降低2G和3G设备的安全性。众所周知,2G或GSM的协议容易受到一种人为使用假基站作为IMSI捕捉器(比如Stingray)形式的攻击。 2G网络手机在约0.6平方英里的范围内也容易受到攻击。 3G手机也有类似的被跟踪缺陷。在周一发表的一篇研究论文中描述了一种新的攻击,这是第一种针对LTE网络的方式,而此前LTE被广泛认为比前辈们更安全。

“LTE接入网安全协议承诺了数层的保护技术来防止用户被跟踪,并确保任何时候对网络服务的可用性,”研究人员在论文中写道,题目是“对4G / LTE移动通信系统隐私和可用性的实用攻击”。

研究人员还写道:“我们发现了LTE接入网络安全协议的漏洞会给LTE用户的隐私和可用性带来新的威胁。”

像它的一些前辈,LTE试图通过分配给它一个定期更换的TMSI来隐藏某个特定电话的位置,这比一个临时移动用户身份短。当网络与手机进行交互时,这将通过其TMSI而不是通过电话号码或其他永久标识符解决这个问题,从而防止攻击者跟踪给定用户的位置来监视网络流量。 2G攻击的方案是通过发送手机一个看不见的短信而在不知不觉中使移动网络定位该手机。该寻呼消息使研究人员能够将TMSI对应上电话号码。


被动攻击VS进阶版NodeB

在LTE攻击的背后,研究人员发现,类似的寻呼请求也可通过社交通讯应用触发,如那些由Facebook,WhatsApp,和Viber提供的,没有指示任何对用户的提示他们正在被跟踪。例如,发送一个 Facebook消息,如果发送者不在接收者好友名单下,将导致消息被悄悄转移到一个“其他”文件夹。但在幕后,攻击者可以利用通过网络发送该数据到Facebook接收器而这链接到TMSI。反过来,当手机在移动时,TMSI可用于定位跟踪手机。

通过WhatsApp的或Viber发送的文本,同时,首先必须由目标手机的主人回复。然后,攻击者可以利用该应用的“打字通知功能触发寻呼请求。研究人员解释这样的漏洞是“半被动的”,是因为它们主要涉及被动监视网络流量,而不是活跃的人为攻击中的伪装和流量操纵。

https://p3.ssl.qhimg.com/t01cd29ff1c4a2dcbd9.png

攻击者也可以选择操作流氓基站发起更为准确的主动攻击,在LTE中的说法是eNodeB,evolved NodeB的缩写。要创建自己的eNodeB,研究人员使用了通用软件无线电外设来运行OpenLTE, LTE规范的官方开源软件。一位在芬兰阿尔托大学的博士后研究人员告诉Ars,包括无线电板和天线在内的总成本约为€1,250(约$ 1,400)。

在主动模式下运行时,eNodeB会假装成官方的基站来提供一个网络载体强制LTE手机连接到它。然后,攻击者可以运行调试程序这会导致手机泄露丰富的信息,包括所有附近的基站和每个的信号强度。攻击者可以使用该数据来三角测量设备的精确位置。在一些情况下,流氓eNodeB可以用来获取手机的GPS坐标。

而主动攻击提供了更精确的定位数据,这是有代价的。 Darshak,一个拉斯维加斯的2014年黑帽安全大会上发布的IMSI捕捉器检测程序,以及一个来自Pwnie Express的简单应用,还有其他类似的,都可以很容易地检测出完整的攻击。这意味着在众多攻击方式中,半被动攻击可能是最好的,即使它提供的数据位置是粗糙的。

还有另外一个特性使半被动攻击很吸引人:研究人员研究的至少有一个LTE网络允许TMSIs持续长达三天,在被改变之前。这意味着执行此攻击的人可以用它来连续几天跟踪目标的动向,并维持大约半英里的攻击精度。虽然有可能消息传递应用程序会尝试做出阻止攻击的改变,但是如果有其他的方式来触发寻呼请求,目标也不会起疑。

该论文包含一个单独的攻击,来防止手机连接到LTE网络。这样的攻击会防止手机接收语音或数据服务或者会导致手机使用3G或2G,这样就很容易受到其它类型的攻击。在任何情况下,除非设备重新启动,拒绝服务攻击通常是有效的。

研究人员还包括几个柏林工业大学的博士生和教授。他们说,他们联系了所有的受到其在六月和七月的研究影响的制造商和运营商,并提出了一些修改让公司可以更好地保护自己的产品和网络。研究人员计划在2015年阿姆斯特丹T2安全会议,互联网协会NDSS会议即将黑帽安全大会上展示他们的研究结果。攻击的简短说明在这里。

如前面所述,他们所利用的都是LTE规范本身存在的漏洞。这可能意味着每个LTE兼容的制造商和运营商很容易受到这些攻击。修复程序肯定需要时间和金钱,但至少会有行业合伙人之间会通过一个一致性协议来保护客户免于迫在眉睫的攻击的威胁。

本文翻译自安全客 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
AuRora17
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66