本節(jié)書(shū)摘來(lái)自華章出版社《黑客大曝光：移動(dòng)應(yīng)用安全揭秘及防護(hù)措施》一書(shū)中的第2章，第2.2節(jié)，作者 （美）Neil Bergman ，更多章節(jié)內(nèi)容可以訪問(wèn)云棲社區(qū)“華章計(jì)算機(jī)”公眾號(hào)查看

2.2　攻擊與對(duì)策

好，我們已經(jīng)知道了移動(dòng)手機(jī)網(wǎng)絡(luò)的基礎(chǔ)知識(shí)；接下來(lái)我們來(lái)談一下如何攻擊和進(jìn)行防御。
攻擊移動(dòng)語(yǔ)音信箱
可能近年來(lái)最有名的“移動(dòng)”攻擊就是發(fā)生在英國(guó)的《世界新聞報(bào)》對(duì)人們語(yǔ)音信箱賬號(hào)的入侵。想一想，我們已經(jīng)從這個(gè)事件中學(xué)到什么了嗎？沒(méi)有，它只是證明（甚至在美國(guó)）MNO仍然默認(rèn)配置語(yǔ)音信箱賬號(hào)來(lái)驗(yàn)證來(lái)自對(duì)應(yīng)電話號(hào)碼的任何呼叫，但沒(méi)有關(guān)于輸入語(yǔ)音信箱密碼的提示。關(guān)于《世界新聞報(bào)》事件，結(jié)果可能更加不幸，但是我們已經(jīng)看到這種攻擊對(duì)聚會(huì)的影響，在這些聚會(huì)上合作伙伴已經(jīng)搭建了他們自己私有的PBX服務(wù)器（例如，使用像Asterisk的開(kāi)源架構(gòu)）。利用這樣的裝置，你能很容易地對(duì)呼叫進(jìn)行路由和實(shí)施來(lái)電號(hào)碼欺騙。這使得只要你知道他們的電話號(hào)碼就能訪問(wèn)任何人的語(yǔ)音信息變得不再那么重要。因此，當(dāng)一些人隨意問(wèn)你的電話號(hào)碼，然后撥通電話并過(guò)一會(huì)很快掛掉電話，同時(shí)回復(fù)你一條語(yǔ)音信箱信息，這時(shí)你要提高警惕了，因?yàn)楹芸赡苁且粋€(gè)騙局。
更糟糕的是，互聯(lián)網(wǎng)存在許多通過(guò)實(shí)施來(lái)電號(hào)碼欺騙來(lái)收取少量費(fèi)用的服務(wù)，所以你能夠通過(guò)連接到互聯(lián)網(wǎng)上的任何一臺(tái)電腦執(zhí)行這種攻擊。約翰?基夫在下面的文章中介紹了他在這方面的經(jīng)歷wnyc.org/articles/wnyc-news/2011/jul/18/hacking-voicemails-scary-easy-i-did-it/。基夫的文章也一再論證了這為什么是可能的：AT&T發(fā)言人馬克?西格爾說(shuō)過(guò)：“為方便起見(jiàn)，當(dāng)AT&T用戶使用你的手機(jī)訪問(wèn)語(yǔ)音信箱的時(shí)候，他們也可以選擇不輸入密碼”。再一次說(shuō)明了，簡(jiǎn)單勝過(guò)安全。哎！
針對(duì)移動(dòng)語(yǔ)音信箱攻擊的對(duì)策
我們將盡量保持簡(jiǎn)單和簡(jiǎn)短—設(shè)置一個(gè)語(yǔ)音信箱密碼（具有適當(dāng)復(fù)雜性），然后配置成在所有情況下都要求輸入該密碼（即使來(lái)電是來(lái)自于你自己的手機(jī)時(shí)）。
惡意移動(dòng)設(shè)備
過(guò)去當(dāng)蘋果聲稱越獄后的蘋果手機(jī)將對(duì)移動(dòng)網(wǎng)絡(luò)是一種嚴(yán)重威脅時(shí)，他們確實(shí)是這樣定義它的。只是因?yàn)闆](méi)有人使用該技術(shù)做出任何破壞性行為，但這并不意味著它必然不會(huì)發(fā)生。事實(shí)上，“電話—基于網(wǎng)絡(luò)的攻擊”的主要障礙物實(shí)際是量—你需要大量分散在各地的手機(jī)，以一種有意義同時(shí)能夠引起媒體關(guān)注的方式去真正影響移動(dòng)網(wǎng)絡(luò)。好比一個(gè)有電話干擾發(fā)射機(jī)的人確實(shí)會(huì)產(chǎn)生一定干擾，想象一下如果你遇見(jiàn)的每5個(gè)或6個(gè)人中恰好都有一個(gè)擁有無(wú)線電屏蔽設(shè)備，那么將會(huì)發(fā)生什么？
另一個(gè)有趣的方面是當(dāng)在我們談?wù)撌謾C(jī)的時(shí)候，如果你曾經(jīng)看到過(guò)iOS或者Android設(shè)備的軟件內(nèi)核，那么你已經(jīng)開(kāi)始看到許多Unix的相似物—目錄結(jié)構(gòu)、數(shù)據(jù)庫(kù)、文件版本等等。這能用兩個(gè)簡(jiǎn)單的詞語(yǔ)總結(jié)：“iOS是BSD”與“Android是Linux”。盡管技術(shù)上沒(méi)有這么簡(jiǎn)單，但是iOS操作系統(tǒng)的本質(zhì)，就是目前已知的重要部分，都?xì)w功于伯克利UNIX，同時(shí)Android操作系統(tǒng)是嵌入式Linux，只是一些庫(kù)和管理功能在筆記本電腦和桌面電腦構(gòu)建中通常不需要。
這里的要點(diǎn)是什么呢？任何已經(jīng)破壞、建立或者研究BSD或 Linux的人能夠直接將他們90%的成功經(jīng)驗(yàn)應(yīng)用到iOS或Android設(shè)備中。
所以手機(jī)是如何影響網(wǎng)絡(luò)的呢？還記得圖2-2中顯示的GSM網(wǎng)絡(luò)簡(jiǎn)化圖嗎？你會(huì)回想起我們用電話使用一個(gè)Um信道，通過(guò)無(wú)線電連接到一個(gè)基站收發(fā)器（BTS）。Um信道確實(shí)是許多不同邏輯和物理信道堆疊到一起，這給你一種假象：仿佛來(lái)電、短信、郵件和互聯(lián)網(wǎng)訪問(wèn)無(wú)縫到達(dá)你的手機(jī)。例如，當(dāng)你發(fā)起和接收呼叫時(shí)，許多邏輯信道會(huì)結(jié)合起來(lái)為一個(gè)電話實(shí)現(xiàn)呼叫服務(wù)。如果你有修改移動(dòng)設(shè)備的權(quán)利，你會(huì)說(shuō)通過(guò)有選擇的干擾或者修改廣播信號(hào)或來(lái)自于BTS的重要網(wǎng)絡(luò)傳輸信息，你就能夠在你的廣播范圍內(nèi)控制或干擾其他任何合法的手機(jī)。總之，這是一個(gè)需要考慮的非常可怕的過(guò)程。在這個(gè)過(guò)程中一個(gè)主要的問(wèn)題是定位：每個(gè)攻擊者都有一個(gè)電話確實(shí)很麻煩。試想如果每個(gè)主流品牌（像Android或蘋果手機(jī)）的手機(jī)都開(kāi)始惡意行為，那么將會(huì)發(fā)生什么？它將會(huì)是移動(dòng)運(yùn)營(yíng)商所見(jiàn)過(guò)的最大規(guī)模的分布式拒絕服務(wù)攻擊。
惡意移動(dòng)設(shè)備對(duì)策
改動(dòng)后的移動(dòng)設(shè)備會(huì)對(duì)手機(jī)網(wǎng)絡(luò)產(chǎn)生摧毀性的影響，除定位以外。
當(dāng)人們開(kāi)始談?wù)撘苿?dòng)網(wǎng)絡(luò)的厄運(yùn)時(shí)，主要一個(gè)需要考慮的問(wèn)題是移動(dòng)網(wǎng)絡(luò)在設(shè)計(jì)時(shí)就被劃分為多個(gè)更小的部分。如果有人為了針對(duì)移動(dòng)網(wǎng)絡(luò)的某些惡意目的篡改了某個(gè)手機(jī)……那么他會(huì)影響無(wú)線電覆蓋范圍內(nèi)的任何其他人。對(duì)于一個(gè)現(xiàn)代的電話來(lái)說(shuō)，這個(gè)范圍會(huì)覆蓋大約幾百碼之內(nèi)的大城市和幾英里的平坦地形。如果那個(gè)人能夠做這樣一件事，那么危害（是的我們知道“危害”用在這兒是一個(gè)可怕的字眼）通常就限制在移動(dòng)網(wǎng)絡(luò)內(nèi)該基站的成員中，很可能僅僅只針對(duì)那些暴露在原始無(wú)線電信號(hào)的人，這取決于接口類型和攻擊者的目標(biāo)。使用簡(jiǎn)易無(wú)線電（simply-radio）是當(dāng)今人們能夠部署的最可行的否認(rèn)通信的方法。
使用一個(gè)火花線圈和一個(gè)相對(duì)大容量的電池，針對(duì)4～5個(gè)基礎(chǔ)移動(dòng)服務(wù)頻率來(lái)造成干擾和拒絕服務(wù)，而不是修改移動(dòng)設(shè)備的基帶信號(hào)來(lái)為你所用，相對(duì)來(lái)說(shuō)更簡(jiǎn)單。我們認(rèn)為這些類型的威脅雖然是合法的，但是不應(yīng)該讓你們夜不能寐。
早期惡意移動(dòng)基站攻擊
傳統(tǒng)移動(dòng)網(wǎng)絡(luò)的信任模式與幼兒園班級(jí)有相似之處。在幼兒園,每個(gè)班級(jí)有一個(gè)老師和一群吵鬧的孩子。每個(gè)孩子可以看作是一個(gè)在線手機(jī)，每個(gè)班級(jí)可以大致看作是一個(gè)基站。你能想象大多數(shù)的信任和授權(quán)都來(lái)自于頂層，即來(lái)自于移動(dòng)運(yùn)營(yíng)商。正因?yàn)槿绱?#xff0c;同時(shí)我們假設(shè)大多數(shù)攻擊者的技術(shù)并沒(méi)有達(dá)到可以修改硬件和固件的水平，于是我們就看到一個(gè)進(jìn)行自上而下對(duì)網(wǎng)絡(luò)控制的方法。這意味著網(wǎng)絡(luò)需要對(duì)手機(jī)進(jìn)行驗(yàn)證，但是（直到最近）手機(jī)并不驗(yàn)證網(wǎng)絡(luò)。利用這種簡(jiǎn)單性你就能夠?qū)σ苿?dòng)網(wǎng)絡(luò)進(jìn)行仿真，更類似于你所知的設(shè)備測(cè)試，而不是繞過(guò)安全規(guī)則。
為了進(jìn)一步詳述這點(diǎn)，讓我們舉個(gè)簡(jiǎn)單的例子—我們?nèi)绾蚊俺涫澜缟先魏我粋€(gè)移動(dòng)運(yùn)營(yíng)商。回到20世紀(jì)90年代，當(dāng)時(shí)我們還是容易受影響的孩子，有太多的時(shí)間在我們手上而且只有很少的積蓄。我們需要開(kāi)始使用這個(gè)新技術(shù)，它能使我們?cè)谏碁⑵嚮蛘呱巾斏贤藗冎v話。那時(shí)，這種想法十分新鮮，通過(guò)無(wú)線電波將談話傳送至其他人的想法在當(dāng)時(shí)是相當(dāng)不可思議的。
在那個(gè)時(shí)候，只有簡(jiǎn)單的時(shí)分復(fù)用技術(shù)，原始的無(wú)線電輸出強(qiáng)度和大體積電池。當(dāng)時(shí)存在許多有競(jìng)爭(zhēng)力的技術(shù)，人們也在努力達(dá)到我們現(xiàn)在所享受的互操作性的水平。
無(wú)論如何，我們?cè)?jīng)是貧瘠和好奇的，但是我們也確實(shí)擁有了一部或兩部手機(jī)。我們開(kāi)始對(duì)USENET有所了解，并且對(duì)無(wú)線電、數(shù)字化語(yǔ)音和稱為GSM的新流行事物產(chǎn)生疑問(wèn)。GSM技術(shù)在當(dāng)時(shí)處于相對(duì)不成熟的狀態(tài)，但是幸運(yùn)的是對(duì)業(yè)余愛(ài)好者來(lái)說(shuō)，標(biāo)準(zhǔn)和協(xié)議規(guī)范是可行的一條路，如果你有幸能夠發(fā)現(xiàn)數(shù)字副本的話。我們開(kāi)始閱讀一份1 200頁(yè)的規(guī)范文檔，我們不停的閱讀……閱讀……直到我們對(duì)關(guān)于GSM協(xié)議的一個(gè)有趣的現(xiàn)象產(chǎn)生了困惑。任何手機(jī)都能夠在另一個(gè)運(yùn)營(yíng)商網(wǎng)絡(luò)中漫游。當(dāng)你離開(kāi)鹿特丹到達(dá)斯塔萬(wàn)格，卻還能撥打接聽(tīng)電話，這是GSM網(wǎng)絡(luò)的內(nèi)置特性。它也引出3個(gè)非常有趣的現(xiàn)象：
手機(jī)能夠簡(jiǎn)單地加入另一個(gè)移動(dòng)運(yùn)營(yíng)商的網(wǎng)絡(luò)；
當(dāng)手機(jī)加入一個(gè)網(wǎng)絡(luò)時(shí)，一般很混雜（為什么漫游會(huì)這么容易？）；
移動(dòng)網(wǎng)絡(luò)由一個(gè)簡(jiǎn)單的3位數(shù)字代碼和一個(gè)3位國(guó)家代號(hào)定義,如表2-1所示。
如果你像我們一樣，你也許會(huì)說(shuō)：“現(xiàn)在，我們?cè)鯓尤ツ７逻@3位數(shù)字代碼呢？”如果你與我們并不相似，很好，因?yàn)檫@種想法會(huì)讓你陷入各種麻煩中。盡管如此，最終我們?nèi)匀话l(fā)現(xiàn)了我們一直在探尋的東西—?jiǎng)?chuàng)建GSM網(wǎng)絡(luò)，并掌握GSM電話如何加入并使用該網(wǎng)絡(luò)的方法。現(xiàn)在面臨的最大問(wèn)題是我們沒(méi)有設(shè)備來(lái)支撐我們使用新發(fā)現(xiàn)理論做任何研究。我們需要在不使用保護(hù)措施的情況下獲得一個(gè)基站。經(jīng)過(guò)幾個(gè)月的搜索，我們最終發(fā)現(xiàn)了我們正在尋找的東西—另一類手機(jī)！當(dāng)時(shí)我們不知道基帶在這些小設(shè)備中會(huì)有這么大的作用。事實(shí)證明許多特性（例如模擬一個(gè)基站），確實(shí)就是一個(gè)軟件的變革。
我們正在到處尋找對(duì)整個(gè)基站進(jìn)行仿真的方法—無(wú)線電塔，每個(gè)電話通過(guò)連接無(wú)線電塔來(lái)獲得服務(wù)。我們還沒(méi)有意識(shí)到的是，從無(wú)線電的本質(zhì)來(lái)說(shuō)它是一個(gè)可共享的廣播媒介，這就意味著如果我們距離它足夠近，我們就能夠監(jiān)聽(tīng)周圍的一切。我們現(xiàn)在知道這非常基礎(chǔ)，但是當(dāng)時(shí)我們還年輕，并且是首次研究這個(gè)方向。針對(duì)一個(gè)略微不同的目標(biāo)—監(jiān)聽(tīng)電話，而不是模擬一個(gè)基站—我們開(kāi)始向任何能夠傾聽(tīng)我們的人提出更多的問(wèn)題。最終，我們從另一個(gè)德國(guó)的技術(shù)專家那里得到了反饋。他解釋到，可以通過(guò)修改電話上的固件并將其放置到他所謂的“工程模型”中。我們都沒(méi)有真正看到這樣帶來(lái)的益處，直到他解釋到：“工程模型固件允許這些手機(jī)在相同時(shí)間內(nèi)捕獲所有基帶上的無(wú)線電通信，你就可以通過(guò)RS232記錄所有數(shù)據(jù)包，像語(yǔ)音和SMS等類的資源，這聽(tīng)起來(lái)確實(shí)很酷。”

在早期，一直使用的是14.4 k調(diào)制解調(diào)器，所以對(duì)于我們而言，能夠發(fā)現(xiàn)一種用手機(jī)捕獲無(wú)線電通信的方法是很激動(dòng)人心的。這個(gè)人給我們發(fā)送了一個(gè)300 KB超大附件，以及一些關(guān)于如何格式化特定手機(jī)的指令，還有關(guān)于如何從海外供應(yīng)商購(gòu)買調(diào)試電纜的說(shuō)明。我們花費(fèi)了大約20美元購(gòu)買電纜，建立Slackwarebox，并格式化了我們第一個(gè)電話。從那以后我們沒(méi)有回頭。
現(xiàn)在，對(duì)于那些從電影《Swordfish》或《Hackers》中聯(lián)想畫(huà)面的人們，我們現(xiàn)在需要告訴你們：完全不像那樣。事實(shí)上，對(duì)于偶然的攻擊，我們需要花費(fèi)數(shù)月的努力才能真正明白我們看到的東西。當(dāng)然，在我們這樣做的同時(shí)，世界也在發(fā)生著改變。我們正在關(guān)注相應(yīng)的比特流（撥通和中斷電話，以及發(fā)送短信）、語(yǔ)音信道，甚至包數(shù)據(jù)，以控制信道。那時(shí)，由于簡(jiǎn)單包數(shù)據(jù)通常是低速范圍，我認(rèn)為語(yǔ)音和文本信息相對(duì)而言更酷。
還要記住的是，所有這些變化都發(fā)生在20世紀(jì)90年代。手機(jī)正在成為一種流行工具；它們變得越來(lái)越便宜；并且越來(lái)越多的人正在使用并將它們作為一種方便的日常工具。我們花費(fèi)的所有資源是價(jià)值20美元的電纜，以及在USENET上占用的大量時(shí)間與下載一些固件的撥號(hào)連接。總之，我們?nèi)匀徽J(rèn)為這20美元是一個(gè)很好的投資。
如果讓我們快速前進(jìn)幾年，當(dāng)我們已經(jīng)有真正的工作和用戶時(shí)，會(huì)再一次產(chǎn)生對(duì)手機(jī)基站進(jìn)行模擬的想法。回到2002年，作者應(yīng)讀者要求提供了一個(gè)完整的手機(jī)測(cè)試環(huán)境。這個(gè)想法可以讓人們能夠理解并修改手機(jī)及手機(jī)支付所運(yùn)行的環(huán)境。第二次變得更加智能一些，我迅速找到主要的移動(dòng)運(yùn)營(yíng)商并問(wèn)他們，“你們用什么來(lái)測(cè)試手機(jī)？”可以預(yù)見(jiàn)到的是，所有運(yùn)營(yíng)商都答非所問(wèn)，他們只是說(shuō)，假設(shè)一些瘋狂的研究者知道了他們網(wǎng)絡(luò)測(cè)試的機(jī)密，那么很快就會(huì)發(fā)生混亂。
我曾經(jīng)又一次在網(wǎng)上一直進(jìn)行搜索，于是發(fā)現(xiàn)了一個(gè)很好的公司，叫做Rhode& Schwartz公司。R&S剛好為GSM網(wǎng)絡(luò)創(chuàng)建測(cè)試工具，包括我一直追尋的“圣杯”—基站收發(fā)信機(jī)（BTS）模擬器！我很快發(fā)現(xiàn)我可以查到所有關(guān)于他們的產(chǎn)品的信息，包括價(jià)格。我曾經(jīng)提到過(guò)這些部件很昂貴嗎？會(huì)是六位數(shù)字那么貴嗎？看起來(lái)好像我的客戶并不在意這個(gè)，所以我也不在乎。我訂購(gòu)了全套的R&S CMU200，然后開(kāi)始工作。事實(shí)證明這仍然和開(kāi)始模擬基站一樣簡(jiǎn)單—三位數(shù)，即移動(dòng)網(wǎng)絡(luò)代碼，定義了不同的運(yùn)營(yíng)商。我曾經(jīng)查詢了MCC/MNC目錄，繼而意識(shí)到這是一個(gè)“測(cè)試” MCC/MNC為001/001。當(dāng)然，考慮到本書(shū)內(nèi)容，我必須聲明任何對(duì)該領(lǐng)域該興趣的人都應(yīng)該停留在001/001。但無(wú)論如何,讓我們發(fā)揮一下想象力吧。
比方說(shuō)你剛好對(duì)其中一個(gè)BTS仿真箱進(jìn)行過(guò)訪問(wèn)（從拍賣、促銷或者直接從廠商處購(gòu)買）。比方說(shuō)你想要模擬我們?cè)?jīng)談?wù)撨^(guò)的某個(gè)移動(dòng)運(yùn)營(yíng)商。你需要做的第一件事是查看你國(guó)家的標(biāo)準(zhǔn)移動(dòng)國(guó)家代碼；考慮到臆想實(shí)驗(yàn)（想法），我們使用沙特阿拉伯作為例子進(jìn)行討論。沙特阿拉伯目前有兩個(gè)主要的移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商（MNO）: Mobily和Al Jawal（阿聯(lián)酋電信和沙特電信）在爭(zhēng)奪移動(dòng)用戶中競(jìng)爭(zhēng)。我們假定我們是Mobily。我們首先查詢KSA的MCC，即420。這是一個(gè)好的開(kāi)端：3個(gè)數(shù)字留下來(lái),接著是另外3個(gè)。現(xiàn)在我們需要確定Mobily提供服務(wù)所使用的移動(dòng)網(wǎng)絡(luò)代碼是什么。我們?cè)趺床拍茏龅侥?#xff1f;最簡(jiǎn)單的方法是在各種站點(diǎn)上對(duì)MCC/MNC組合進(jìn)行查詢。在這個(gè)實(shí)驗(yàn)過(guò)程中，我們使用mcclist.com。Mobily使用“3”（或者“003”）作為移動(dòng)網(wǎng)絡(luò)代碼。掌握了這個(gè)信息后，我們現(xiàn)在能夠在沙特阿拉伯模擬GSM網(wǎng)絡(luò)了。
至少，我們認(rèn)為我們可以。事實(shí)證明雖然最終需要六位數(shù)字才能夠確定一個(gè)GSM網(wǎng)絡(luò)運(yùn)營(yíng)商空間，但是有一個(gè)必要的欺騙GSM手機(jī)去連接假冒BTS的關(guān)鍵信息：信道分配。當(dāng)今，信道分配是一個(gè)爭(zhēng)而未決的問(wèn)題， “世界電話”和“四波段”（quad band）無(wú)線電不是例外而是規(guī)范，但是當(dāng)你試圖模仿手機(jī)運(yùn)營(yíng)商時(shí)，你應(yīng)該非常謹(jǐn)慎。在這個(gè)情況下，我們可以通過(guò)查閱相同的網(wǎng)站并且可以看到，在我們有著特殊想法的實(shí)驗(yàn)中，Mobily使用的是GSM900和UMTS/W-CDMA 2100。因?yàn)槲覀兊哪康?#xff0c;我們不需要擔(dān)心無(wú)線電兼容性或者信道選擇，但是實(shí)際上，我們要同時(shí)覆蓋標(biāo)準(zhǔn)GSM 900-MHz頻帶和CDMA 2100-MHz頻帶，以獲得兩個(gè)獨(dú)立的無(wú)線電波。圖2-4對(duì)GSM嗅探裝置進(jìn)行了介紹。

在所有工作完成后，讓我們來(lái)回顧下獲得了什么。首先，如果我們?cè)谏程卮蜷_(kāi)這個(gè)裝置，我們就能夠查看同我們基站相聯(lián)的手機(jī)。同時(shí)，我們也能夠看見(jiàn)數(shù)據(jù)連接、手機(jī)呼叫嘗試與大量的SMS短信。用戶也許會(huì)注意到一些其他的方面：它們看起來(lái)似乎是無(wú)關(guān)聯(lián)的！雖然我們描述的裝備會(huì)成功欺騙手機(jī)，使其與之連接，但是基站仿真器并沒(méi)有獲得所有必需的連接來(lái)允許電話呼叫和接收電話、發(fā)送短信或者瀏覽互聯(lián)網(wǎng)操作。
對(duì)于這些問(wèn)題，像瀏覽互聯(lián)網(wǎng)，只需要將以太網(wǎng)電纜插入仿真盒背面就可以了。對(duì)于電話呼叫，來(lái)電號(hào)碼欺騙是一個(gè)非常可怕的問(wèn)題，需要同等程度的努力來(lái)攔截和驗(yàn)證代理來(lái)電的合法性。
惡意基站對(duì)策
正如我們所關(guān)注的一樣，這個(gè)問(wèn)題關(guān)于移動(dòng)網(wǎng)絡(luò)認(rèn)證，因此，作為終端用戶，要認(rèn)識(shí)到的一點(diǎn)是，你能在認(rèn)證方面做的事情很少。當(dāng)下次你呼叫涉及隱秘的電話或者用手機(jī)發(fā)送SMS或郵件時(shí)，請(qǐng)記住這點(diǎn)。哎!
惡意家庭基站攻擊
2009年，一個(gè)GSM棧的BTS部分的簡(jiǎn)單開(kāi)源實(shí)現(xiàn)引起了人們的廣泛興趣。這個(gè)實(shí)現(xiàn)方法，即OpenBTS，聲名狼藉，因?yàn)榘踩芯空咭庾R(shí)到你可以在一些基礎(chǔ)無(wú)線電硬件上使用這個(gè)免費(fèi)軟件，從而制造出一個(gè)價(jià)值1 500美元 的“偽基站”（要知道的是，R&SCMU200當(dāng)時(shí)比游艇的還貴，所以這是一個(gè)特大新聞）。對(duì)安全研究者來(lái)說(shuō)很不幸的是，2009年也是家庭基站普遍發(fā)行、轟動(dòng)北美市場(chǎng)的時(shí)刻。家庭基站與基站測(cè)試裝置不一樣，也不像實(shí)現(xiàn)GSM棧的開(kāi)源軟件。家庭基站是黑客的至高追求；它們是真實(shí)的移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)設(shè)備，實(shí)現(xiàn)了完整的GSM或CDMA棧，可以在一個(gè)運(yùn)營(yíng)商網(wǎng)絡(luò)上支持所有設(shè)備，并提供用戶合法呼叫、發(fā)短信和數(shù)據(jù)回傳操作。圖2-5顯示一個(gè)可能的惡意家庭基站設(shè)置。
但是伴隨著新技術(shù)的發(fā)展，出現(xiàn)了很多阻礙。對(duì)于每個(gè)感興趣的安全專業(yè)人士和有信用卡的年輕人來(lái)說(shuō)，只要家庭基站一旦發(fā)布，這些家庭基站就會(huì)很快成為炮灰。正如在黑帽網(wǎng)站上提及的，這些設(shè)備是非常重要的基礎(chǔ)嵌入式Linux版本，具有一些定制應(yīng)用和一些良好的無(wú)線電裝備。為打造一個(gè)全新世界而花費(fèi)一點(diǎn)錢，不值得嗎？
家庭基站的思想是在你的家中放置一個(gè)極小的盒子。在這個(gè)小盒子中，有一組連接器（天線、電源、以太網(wǎng)）和除狀態(tài)LED的其他東西。這個(gè)小盒子是如何創(chuàng)造奇跡的呢？其實(shí)非常簡(jiǎn)單。正如剛提及的，一個(gè)傳統(tǒng)的家庭基站是一個(gè)運(yùn)行許多特定應(yīng)用的基礎(chǔ)Linux版本；它安裝了大量驅(qū)動(dòng)并包括一些高性能的簡(jiǎn)易無(wú)線電。大多數(shù)實(shí)際的實(shí)現(xiàn)是通過(guò)軟件實(shí)現(xiàn)的；二進(jìn)制為連接的設(shè)備掌管控制信號(hào)和數(shù)據(jù)信號(hào)。固件可對(duì)該無(wú)線電設(shè)備進(jìn)行修改，以滿足一致性和各類協(xié)議規(guī)則。這些應(yīng)用一般控制著三個(gè)主要方面：控制信號(hào)（呼叫建立和斷開(kāi)與SMS信息），正常語(yǔ)音呼叫到實(shí)時(shí)協(xié)議流的轉(zhuǎn)化，以及相關(guān)聯(lián)的SIP安裝程序。

家庭基站同樣包括基礎(chǔ)操作系統(tǒng)，用以保護(hù)回程鏈路；通常是通過(guò)IPSec傳輸或隧道模式連接到移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商的特殊安全網(wǎng)關(guān)完成這項(xiàng)任務(wù)。將所有設(shè)備整合到一起，你將會(huì)有一個(gè)多功能裝置，它能同時(shí)在運(yùn)營(yíng)商網(wǎng)絡(luò)和用戶網(wǎng)絡(luò)中工作。
一個(gè)家庭基站的基礎(chǔ)操作包括安全人員感興趣的許多方面，包括：
設(shè)備關(guān)聯(lián)；
呼叫建立和斷開(kāi)；
信息傳遞；
回程連接。
大多數(shù)現(xiàn)代家庭基站中的相關(guān)設(shè)備需要家庭基站在實(shí)際通信過(guò)程中使用MNO的認(rèn)證機(jī)制。有趣的是，這提供了許多潛在的攻擊向量。很明顯，后臺(tái)認(rèn)證中心的通信通路以及相關(guān)的安全（身份驗(yàn)證、授權(quán)、等級(jí)限定）對(duì)于整體平臺(tái)的安全是至關(guān)重要的。目前，任何接收用于驗(yàn)證設(shè)備的原始機(jī)密的家庭基站，對(duì)于MNO和他們的用戶來(lái)說(shuō)都是一個(gè)嚴(yán)峻的風(fēng)險(xiǎn)。雖然在MNO和家庭基站之間使用一個(gè)IPSec通道能夠保護(hù)機(jī)密，但是事實(shí)上任何像家庭基站一樣可以物理訪問(wèn)一臺(tái)設(shè)備的人都能夠很容易獲取對(duì)軟件和硬件的訪問(wèn)權(quán)限。而一旦獲得物理訪問(wèn)權(quán)限，所有安全投入都無(wú)效了。正如早期在
hackaday.com/2012/04/12/poking-at-the-femtocell-hardware-in-an-attmicrocell/and wiki.thc.org/vodafone中描述的，許多現(xiàn)成的裝置能夠精確地實(shí)現(xiàn)這個(gè)過(guò)程。因?yàn)檫@些設(shè)備都是基于簡(jiǎn)單的Linux分布，因此所有的攻擊工具和知識(shí)都能夠被技術(shù)精湛的攻擊者使用，以挖掘網(wǎng)絡(luò)連接的基站的全部功能。
這會(huì)導(dǎo)致一個(gè)很可怕的處境：我們?nèi)绾螢橛脩籼峁└咝阅堋⒏呖尚诺木W(wǎng)絡(luò)設(shè)備呢？我們的答案是：你不能。一個(gè)簡(jiǎn)單的事實(shí)是出于各種原因，全世界的人們都喜歡使用這種家庭基站，但是并不是所有的原因都是正當(dāng)?shù)摹Ｈ绻踩藛T從希望維護(hù)MNO的安全立場(chǎng)保護(hù)他們的（與潛在的其他）用戶，那么家庭基站應(yīng)該只能執(zhí)行簡(jiǎn)單的“IP無(wú)線電”功能。
對(duì)于大多數(shù)家庭基站來(lái)說(shuō)，另一個(gè)有趣的配置選擇主要是圍繞用戶。隨著許多網(wǎng)絡(luò)操運(yùn)營(yíng)商做出如下舉措，一個(gè)具有高度爭(zhēng)議的問(wèn)題產(chǎn)生了。如果將我們的家庭基站的用戶范圍限制在少量的手機(jī)中，那么我們將在免費(fèi)的網(wǎng)絡(luò)發(fā)展上損失更多。因此，我們將允許任意用戶連接任意家庭基站，這樣可以使得每個(gè)人都能夠滿意！
一些運(yùn)營(yíng)商已經(jīng)選擇將能夠連接家庭基站的人員限制在可控的白名單中，但是其他人已簡(jiǎn)單闡明任何能夠連接MNO網(wǎng)絡(luò)的手機(jī)也能連接他們的家庭基站。讓我們用一點(diǎn)時(shí)間仔細(xì)分析這個(gè)決定吧。
如果家庭基站只允許來(lái)自一個(gè)白名單的連接，那么我們?cè)谠S多因素中將會(huì)有一個(gè)權(quán)衡。這些因素包括用戶經(jīng)驗(yàn)、MNO利益和安全。在目前的相關(guān)部署中，我們發(fā)現(xiàn)主要在用戶經(jīng)驗(yàn)（他們不需要做任何事讓家庭基站“工作”）和MNS利益（即使所有用戶沒(méi)有為使用一個(gè)家庭基站支付任何費(fèi)用，他們也能夠享受高級(jí)別的服務(wù)；他們只需要在一個(gè)已購(gòu)買該家庭基站的用戶周圍即可）之間的有一個(gè)折中。當(dāng)前家庭基站的設(shè)計(jì)可以提供給你一個(gè)高性能的網(wǎng)絡(luò)平臺(tái)，這類家庭基站設(shè)計(jì)與你最終的潛在安全問(wèn)題相結(jié)合，人們就能夠創(chuàng)建惡意基站，這些惡意基站是他們而不是MNO控制的。讓我們來(lái)說(shuō)，這種設(shè)置可以為人們提供通過(guò)低層光纖竊聽(tīng)來(lái)自可信路人的電話會(huì)話、SMS和數(shù)據(jù)連接，這些路人的手機(jī)將混雜著加入惡意基站中。對(duì)于該問(wèn)題唯一的實(shí)際限制是物理層—大多數(shù)家庭基站部署的是非常基本的天線，而這些天線的只有有限的覆蓋面。但是，在我們的經(jīng)驗(yàn)中，不到100美元就可以提高天線的功率，極大的提高家庭基站覆蓋的范圍，這是一個(gè)非常險(xiǎn)惡的裝置。
另一方面，那些已經(jīng)將他們的家庭基站用戶限制在少量IMSI上的MNO仍然在已部署的高性能平臺(tái)上存在一定問(wèn)題。在某些情況下，這些平臺(tái)必須請(qǐng)求來(lái)自回程的變量信息，例如，加密密鑰。所以盡管那些實(shí)施了限制的MNO已經(jīng)限制了“惡意基站攻擊”問(wèn)題，但是他們?nèi)匀豢梢宰屢粋€(gè)相對(duì)開(kāi)放的網(wǎng)管運(yùn)行在移動(dòng)網(wǎng)絡(luò)上，若該網(wǎng)關(guān)落入錯(cuò)誤的人手中，則會(huì)導(dǎo)致對(duì)用戶的敏感信息的訪問(wèn)—這種信息能夠被用來(lái)成功復(fù)制一個(gè)用戶身份模塊，對(duì)MNO和用戶來(lái)說(shuō)都是潛在的危害。
惡意家庭基站對(duì)策
假設(shè)家庭基站很流行并且被廣泛使用，那么短期內(nèi)我們不會(huì)“將這個(gè)妖魔放回瓶里”。但是，MNO和其他人確實(shí)可以在家庭基站的設(shè)計(jì)方面做一些改進(jìn)以改善這個(gè)局面。
最理想的情況下，最容易的事情可能是創(chuàng)建一個(gè)看起來(lái)非常像當(dāng)今家庭基站的設(shè)備，然而缺少關(guān)于請(qǐng)求用戶信息的授權(quán)。這個(gè)新一代的家庭基站能夠保護(hù)MNO和用戶抵御大多數(shù)攻擊，但是它仍然為堅(jiān)定的攻擊者提供了偽裝成一個(gè)MNO的能力—看起來(lái)像是MNO沒(méi)有享受到什么。為了解決這個(gè)問(wèn)題，我們不得不將目光轉(zhuǎn)向手機(jī)制造商，以及起草協(xié)議和接口的標(biāo)準(zhǔn)委員會(huì)。
搞笑的是，GSM網(wǎng)絡(luò)從來(lái)沒(méi)有意識(shí)到網(wǎng)絡(luò)應(yīng)該向手機(jī)證實(shí)身份。更甚者，你可能會(huì)認(rèn)為安全來(lái)自于外界。為了能夠上網(wǎng)，一個(gè)手機(jī)基站不得不提供一個(gè)有效的序列號(hào)或設(shè)備ID以通過(guò)類似“應(yīng)答–挑戰(zhàn)”的多個(gè)“包圍”，遵守所有獨(dú)立基站設(shè)置的傳輸規(guī)定，甚至到了那時(shí)，如果網(wǎng)絡(luò)繁忙的話，一個(gè)移動(dòng)站點(diǎn)也可能輕易被拒絕網(wǎng)絡(luò)訪問(wèn)。
這種安全模式是有缺陷的。單向信任已經(jīng)不能再持續(xù)下去。我們著眼于人類歷史上最大的分布式計(jì)算集群，我們制造出最多的連接、存儲(chǔ)、處理能力可以作為一種文明進(jìn)步的標(biāo)志。那是非常酷的事情。它還需要手機(jī)制造商、標(biāo)準(zhǔn)體制和移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商多制造一些創(chuàng)新的決策。很幸運(yùn)的是，我們不是第一批考慮這些事情的人，這也是件好事情。
當(dāng)我們還在漫談移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商、GSM和家庭基站的時(shí)候，有些人已經(jīng)默默地生產(chǎn)出一個(gè)可靠、開(kāi)放、正確的移動(dòng)基站之間的交互認(rèn)證方法，就像你的手機(jī)和移動(dòng)網(wǎng)絡(luò)。
在IP多媒體子系統(tǒng)（IMS）領(lǐng)域，該領(lǐng)域基于IP和使用服務(wù)模型，在進(jìn)行交互認(rèn)證時(shí)我們自然會(huì)有一些選擇。SIP允許多種類型的單邊和交互認(rèn)證方案，IPSec也需要同樣的一套方案。所以我們?cè)贗MS領(lǐng)域的進(jìn)展怎么樣了？實(shí)際上，如果人們把注意力放在那些已知錯(cuò)誤的密碼、密鑰模式、處理問(wèn)題的關(guān)鍵，以及未履行默認(rèn)安全上，這是很好的。總之，我們現(xiàn)在比以前處在一個(gè)更好的位置去把問(wèn)題處理好。

總結(jié)

以上是生活随笔為你收集整理的《黑客大曝光：移动应用安全揭秘及防护措施》一2.2　攻击与对策的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。