中国美女黑客展示攻击4G LTE网络 手机通信数据随意看

（原标题：中国美女黑客展示攻击4G LTE网络 手机通信数据随意看）

【360 独角兽团队 张婉桥】

这名美女黑客名叫张婉桥，来自 360 独角兽团队。她在国际顶级黑客会议 DEF CON 上分享了这个“悲伤”的研究。和他一起公布这个成果的黑客，是同样来自360独角兽团队的单好奇。（单好奇曾为向女友表忠心而在她电脑上安装了一个监控自己的木马，也许这就是张婉桥拉他一起研究这个技术的原因吧。。。囧）

【单好奇（左）和张婉桥在 DEF CON 做演讲】

谎言、欺骗、4G伪基站

张婉桥告诉雷锋网，为了截获手机上的信息，要做的一切就是用“一套谎言”来欺骗目标手机。这套谎言来自披着羊皮的狼：伪基站。

你可能听说过伪基站这种邪恶的东东，它主要被黑产用于收发垃圾短信，钓鱼信息。不过，你所熟知的伪基站大多采用如下的技术手段：

1、用高强度的干扰信号屏蔽掉一个区域内所有的 3G、4G 手机信号。

2、大多数手机在无法连接 3G、4G 信号时，会选择自动寻找2G 信号。此时手机自然被引向了伪基站的 2G 信号，然后不知不觉接收了诈骗信息。

之所以黑产将信号压制在 2G 之内，而不直接攻击 3G 和 4G 信号，是因为这些通信方式采用了更为严密的安全模式。但是，这种暴力屏蔽信号的模式，往往会造成大面积正在通信的手机信号中断，人们会察觉到信号异常而试图离开伪基站区域。

4G 伪基站

而我们的美女黑客，选择直接对 4G LTE 信号下手。她说：

由于4G LTE 信号采用双向鉴权，意思是基站要验证手机的身份，而手机也要验证基站的身份。一旦相互认证成功，双方就进入加密通信模式，这个时候就很难再进行攻击了。所以我的攻击必须要在鉴权完成之前实行

双向鉴权的过程，成为了张婉桥黑掉手机网络为数不多的好机会。在演讲中，她和单好奇详细解释了攻击的三个步骤：

1、骗到手机号码的“身份证”

IMSI，这个听起来并不性感的单词对于手机来说非常重要，它是手机号码在运营商服务器上的唯一识别码。也就是说，你看到的是自己的手机号，而在运营商的数据库里，你的手机号对应一个 IMSI 码。这就像手机的“身份证”，所有的通信操作都基于对这个身份证的认证。

【手机号的“身份证”IMSI 的捕获方法】

对于一个架设伪基站的攻击者来说，搞到接入手机的身份证，才能进行下一步的攻击。但是，IMSI 对手机来说就像是内裤：“每个人都有，但不能随便给人看。”

张婉桥告诉雷锋网(搜索“雷锋网”公众号关注)：

一般来说，为了安全起见，手机从一个基站切换到另一个基站的时候，会给对方一个TMSI码，这个码是临时的，有效期比较短。而一般只有当手机第一次搜索信号——例如关机重启——时，才会给基站出示永久的 IMSI 码。

这就造成了一个棘手的问题：在黑别人手机的时候，一般是不能冲上去帮别人重启手机的。

为了搞到被攻击收集的 IMSI 码，她需要制造一个 4G 伪基站。4G 伪基站没有办法直接和手机取得通信，因为它的身份无法通过手机的校验。不过在手机校验基站之前，基站可以先给手机一个下马威：

在手机给伪基站出示“TMSI”码之后，伪基站可以给手机发送信息，表示我还是没办法判断你的身份。而根据通信协议，这个时候手机必须出示它的 IMSI码。

通俗来讲，就是一个假保安站在大门口，无论如何不让来访者进去，除非他出示自己的身份证。用这种方式，伪基站终于“骗”到了手机号码的“身份证”。

2、演戏的假保安

在搞到手机号码的身份证之后，这个“假保安”（伪基站）还不善罢干休。他会告诉手机：大厦里已经满员了，不能再允许你进入了。

而这个时候，手机仍然没有机会识破对方“假保安”的身份，于是误以为真的是网络满载。

因为伪基站的信号强度非常大，掩盖了真实的信号。所以这个时候对于手机来说，没有其他可用的网络。为了节省电量，手机会进入一种关闭信号的状态，直到你下一次重启手机。

这时，懵逼的手机往往会长时间处于无信号状态，直到机主注意到并且手动重启。这就造成了一种“拒绝服务攻击”（DoS）。

相信你也想到了，身份没有败露的保安完全可以做进一步的坏事。

3、落入陷阱

张婉桥告诉雷锋网，在4G LTE 的通讯协议中，有一个奇葩的规定：

当一个基站认为自己负载过大时，可以引导前来访问的手机到指定的基站。于是我们可以用 4G 伪基站把手机引导向一个 2G 的伪基站。

回到保安的例子。这就相当于假保安告诉来访者，在大楼旁边还有一座小楼，你在那里也可以办理你的业务。

没错，那一座小楼，根本就是黑客搭建出来的虚假环境——2G 伪基站。

于是，经过这么一大圈，可怜的手机终于又落到了 2G 伪基站的魔爪。由于在 2G 网络中，手机无权判断基站的真伪，所以会毫无保留地把信息交给伪基站。而伪基站甚至可以作为“中间人”把通讯信息完整地交给真基站。在用户看来，自己的通讯没有什么问题，但是实际情况是，他所有的通信内容都被这个“中间人”所窃听了。

【3GPP 历年指定的通讯协议】

奇葩的规定从何而来？

也许你会问，为什么手机必须遵循基站的命令跳转到指定的新基站呢？

张婉桥说，这个缺陷从某种程度上说并不是一个漏洞。因为早在2005年，4G 协议的制定机构 3GPP 内部的专家就已经意识到这个规则在理论上可能会导致攻击。但是协议并没有对这个规则做封堵。

因为在地震或火灾这种紧急情况发生时，很可能会发生所有手机都同时连接同一个基站的情况。这就会造成基站过载而崩溃。手机是很“傻”的，往往只会搜索附近信号最强的那个基站，这个时候，就需要手机服从命令，听从基站的调遣连接到指定的另一个基站。

而在通信协议没有更改的情况下，所有的手机都处在被如此攻击的可能性之中。

善良的黑客

对于张婉桥来说，她对于监控男友通讯记录神马的完全没有兴趣。确切地说，作为一名白帽子黑客，她有着严格的底线和价值观。

她对于破解 4G LTE 技术的研究，是为了寻找到一个保护手机网络的方法，避免这种攻击被真正的坏人利用。

目前看来，在不修改国际通用 4G LTE 协议的情况下，很难完全避免这种攻击，唯一能在这方面做出改进的，就是手机生产厂商。例如：

1、由于攻击最终会转到 2G 伪基站进行，而 2G 伪基站有一些自己的特性，如果在手机中加入一些识别条件，就可以识别出大多数的伪基站，这时就可以对用户进行提醒，或者干脆拒绝连接。

2、对于 4G 伪基站的拒绝服务攻击，可以让手机在这种状态下每半小时，甚至更短时间自动重连一次网络，就不会造成长时间断网的情况。

张婉桥对雷锋网说，有关 4G LTE 的破解研究很多底层的逻辑构建都，其实主要得益于独角兽团队的无线通信专家黄琳。这两个建议已经被团队提交给自家的奇酷手机，相应的解决规则应该正在编写中。

虽然在现实生活中，并没有证据表明这类攻击已经发生。但是张婉桥和单好奇的研究告诉人们，4G网络的安全并非儿戏。这种攻击难以察觉而杀伤力巨大。当这种攻击真的开始大规模发生，人们所付出的代价，将是难以估量的。

P.S. 张婉桥特别鸣谢：队友单好奇、独角兽团队通信大牛黄琳、独角兽团队首席黑客杨卿。研究成果为团队协力完成。

附，张婉桥演讲结束之后被宅男“围攻”的场景