SDR

软件无线电和开源基站在漏洞挖掘中的应用 Part 1

原是去年五六月份给跳跳糖的投稿 -。-
HW 期间跳跳糖关站维护就没开过了。so,发在自己的博客吧。

公开时间:2020/03/08

0x00 概述

17年写的使用OpenBTS基站测试物联网模块当时因为一些原因,中断了这方面的一些研究。

14830767343250

后面因为在工作中继续接触了2G/GSM、3G/UMTS以及4G/LTE的一些开源项目,然后慢慢意识到:开源基站在研究领域的用途不单单限于对IoT智能硬件GPRS流量的劫持这一方面。

0x01 分析

目前,市面上的智能硬件普遍使用WIFI、ZigBee&网关、蜂窝网络与云端服务器通信。

对于使用WIFI的设备而言,对相关设备进行测试相对容易,通过搭建WIFI热点将设备接入该热点,便可以对设备的通信流量进行拦截、嗅探分析。

ZigBee方面,借助于TI德州仪器的一些USB dongle、以及ApiMote等相关硬件可实现对设备无线数据包的嗅探抓取。

DrFzRzIUwAAUiuj

蜂窝网络方面,像智能水表、智能电表以及共享单车,它们都是加入了一些联网模块。这些IOT设备,由于它们对于网速要求不是很高,另外厂商为了要控制成本,所有通常采用2G GSM模块的解决方案。

而硬件开发者普遍会过于依赖、过于相信运营商的蜂窝网络管道,觉得通信流量很难被劫持,所以导致在实际运用中终端模块与云端通信不走加密直接明文通信。

因为2G是单向鉴权,所以导致2G网络中的设备很容易被劫持,下面这幅图演示的就是通过OpenBTS+USRP实现一个小型的2G基站,并劫持了一款智能水表,劫持之后所有的设备流量都会经过我这台电脑,而不是运营商的基站。

IMG_4714

DEF CON 26 – Zeng and Panel – Lora Smart Water Meter Security Analysis

PDF

0x02 扩展

2G GSM的可玩性强:

  • 因为2G单向认证这一问题,可以很容易将GSM设备吸附到开源基站中;
  • 介于数码产品有个向下兼容的特性,即使是3G、4G甚至是5G手机都会实现对2G GSM的兼容支持;
  • GSM可用于无需物理接触,远程触发的场景。(3G、4G因为是双向鉴权、需将SIM卡中的Key读取导入基站数据库,或者需替换自己写入key的SIM插入设备,需要物理接触)

DhQAIXIUYAAzCyH

正如开头所说,开源基站在研究领域的用途不单单限于对IoT智能硬件GPRS流量的劫持这一方面。

2016年,Seeker曾在黑客大会 KCon 上演讲《伪基站高级利用技术——彻底攻破短信验证码》,这项技术和360独角兽安全团队曾揭秘的 LTE 伪基站技术原理相同。

“GSM 中间人攻击的历史更悠久,我既不是第一个发现的人,也不是第一个实现这种攻击方法的人。我不过是捅破窗户纸的那一个。”

PDF:https://github.com/knownsec/KCon/blob/master/2016/%5BKCon%202016%5D0828_3_Seeker_%E4%BC%AA%E5%9F%BA%E7%AB%99%E9%AB%98%E7%BA%A7%E5%88%A9%E7%94%A8%E6%8A%80%E6%9C%AF.pdf

雷锋网采访:https://www.leiphone.com/news/201611/bn5e0FKxetR7Gddd.html

5821643ea0cab

2018年MOSEC安全会议上,@amatcama 分享了他在基带领域的一些研究,基带漏洞最大的威胁是可以通过OTA(空中接口)利用,即通过发射加载漏洞利用代码的无线电波,从空中接口利用漏洞,在受害者无任何感知的情况下,远距离对受害者进行攻击。通过软件无线电跟开源基站,在空口实现远程攻击基带,在 Android手机中执行命令、在RFS写入文件。另外,目前市面上存在很多基于 Android操作系统的智能智能网联车,开源基站也同样适用于网联车的破解。

MOSEC议题解读 | PWN2OWN shannon基带破解之旅

在国内,这方面研究比较深入、漏洞挖掘用得比较多的,像百度的小灰灰:Xcon劫持破解共享单车、对自动售货机的破解这方面都有应用到开源基站的技术。

智能水表、智能电表、车载多媒体…. 等设备均可通过这种方式实现漏洞挖掘、硬件破解。

新的攻击点还包括:

协议Fuzz、参数Fuzz、DDOS、重定向、SMS fuzz、命令执行。

IMG_9740.JPG

0x03 开源基站方案

图片 1

通过SDR软件无线电实现可以实现对基站通信进行安全研究,国外有很多开源的基站系统,都能实现通过SDR+开源系统的方案搭建自己的2G、3G、4G甚至5G基站。

2G:OpenBTS,YateBTS,普遍配合USRP和BladeRF两块SDR开发板;

3G:OpenBTS的UMTS 3G分支以及OSmocom的3G 项目

snip20180104_1

4G方面用得比较多的则有SRSLTE、OAI等等(OAI也有5G的分支)。

另外,SRS在今年五月初的升级版本里面添加了LTE TDD的支持,增加了在这方面的可玩性:

Snip20190603_1

0x04 总结

第一部分先到这里,记得Seeker说过一句话:手机通信安全跨着通信和计算机两个专业领域,两者都精通的安全研究人员比较少,因而一直缺少成熟好用的攻击工具。要想玩好手机安全,一定要自己动手编程,打造自己的安全工具。

0x05 参考

RFSec-ToolKit https://github.com/cn0xroot/RFSec-ToolKit

Nico Golde ,Breaking Band–reverse engineering and exploiting the shannon baseband https://comsecuris.com/slides/recon2016-breaking_band.pdf

黑客炼金术士 Seeker:可以攻破 4G 摸到你短信,还要为朝阳群众提供谍战工具

https://www.leiphone.com/news/201611/bn5e0FKxetR7Gddd.html

Kcon Seeker 伪基站高级利用技术

点击以访问 %5BKCon%202016%5D0828_3_Seeker_%E4%BC%AA%E5%9F%BA%E7%AB%99%E9%AB%98%E7%BA%A7%E5%88%A9%E7%94%A8%E6%8A%80%E6%9C%AF.pdf

“截获短信验证码”盗刷案多地出现:利用2G网络缺陷难防范

https://tech.sina.com.cn/roll/2018-08-04/doc-ihhhczfa2673301.shtml

分类:SDR

1 reply »

发表评论

Please log in using one of these methods to post your comment:

WordPress.com 徽标

您正在使用您的 WordPress.com 账号评论。 登出 /  更改 )

Google photo

您正在使用您的 Google 账号评论。 登出 /  更改 )

Twitter picture

您正在使用您的 Twitter 账号评论。 登出 /  更改 )

Facebook photo

您正在使用您的 Facebook 账号评论。 登出 /  更改 )

Connecting to %s