“家庭基站”(femtocell)设备延伸了“‘无线网络服务提供商’的运营网络”(carrier network)的范围,使用消费者上行链路的连接作为其宽带连接。“家庭基站”被称为“家庭NodeB节点” [1] (Home NodeB),简称为HNB,属于“第三代移动通信合作伙伴计划”(3GPP)规范。“家庭基站”设备作为一个新的无线接口,允许消费者建立一个属于自己的基站。该基站是对传统“无线网络服务提供商”的运营网络基站的一个相对短距离的扩展,在这个属于自己的小基站上,提供了与传统无线移动服务提供商“载波网络”基站类似的连接服务,也就是说,这个小基站上也同样可以提供语音通话、数据传输、“手机短信服务”信息和“手机彩信服务”各项常规业务。当然这些家用级别的设施在功能上与传统无线移动服务提供商的运营网络基站相比,几乎是天壤之别。这些家用设施只提供很有限的、仅限于上述功能的、几乎不会覆盖其他功能的通信需求。换句话说,对于消费者来说,以前在家庭这个级别上无法提供基站级的访问,而现在“家庭基站”设备提供了这种访问基站服务的能力 [2] 。同样,对于黑客来说,“家庭基站”设备还为攻击者提供了新的机会,借此,攻击者或以攻击其家庭级的无线网络服务的基础设施,以及该“家庭基站”下游的各个“用户设备”(User Equipment,UE)设备,比如手机。
“家庭基站”设备使用IPSec协议连接到无线移动服务提供商的运营网络上,并且提供强大的保密性和完整性,支持在不信任的宽带网络上建立连接。“家庭基站”还有加密和解密的功能,可以对3G网络上的语音通话、数据传输,以及短信服务于本地在转发到“用户设备”或转发到无线移动服务提供商的运营网络的网络之前,实现加密和解密的功能,进而满足以加密数据进行传输的IPSec协议的要求。“用户设备”数据的这种分布式加密/解密机制,正好为攻击者提供了机会,使黑客可以对毫不知情的“用户设备”发动一次攻击。
我们要记住,“家庭基站”属于无线网络服务提供商运营网络的一个负责认证的终端级的设备,所以该设备具有访问动态密钥信息,然后加密或解密3G连接的能力。所以介于传统无线网络服务提供商原有的运营网络和“用户设备”之间的天然位置,使得“家庭基站”具有天然的“中间人”的良好位置优势,非常容易发起“中间人”(man-in-the-middle)式的攻击,并且在一次通信中,有好几次这样的机会,通过这种“中间人”式的攻击,可以包括操纵和拦截的电话的各种操作。
使用Vodafone公司的Sure Signal工具进行入侵
“黑客的选择”黑客组织近年来取得了骄人战绩,曾花费近两年的时间,秘密地入侵并修改了一款家庭基站设备,将这个无辜的设备改造成了一个黑客武器,该设备名叫“Sure Signal”,设备的实物图如图12-11所示。这款设备是英国的Vodafone公司 [3] 完成并发布的。“Sure Signal”是一个“全球移动通信”无线通信设备,支持语音通话、数据传输、“手机短信服务”信息和“手机彩信服务”各项常规业务,并且既支持2G协议,也支持3G协议,售价是100英镑,约合160美元。
图12-11 Sure Signal实物图
通过使用该设备的部分开源组件,加上对不开源代码的逆向工程技术,“黑客的选择”黑客组织通过技术侦别,在该设备的一个板上串行控制台接口(on-board serial console)处,通过焊接,将一个“采用TTL电平识别的RS232”的串口适配器(RS232-to-TTL serial adapter)固化到“Sure Signal”设备的主板上。然后通过这个控制台接口,“黑客的选择”黑客组织透露,改装后的“Sure Signal”设备有可能获得对MontaVista版Linux操作系统的shell外壳访问,并且在“Sure Signal”设备的帮助下,获得了root用户的密码是“newsys”。
在root用户权限下访问该操作系统的文件系统,“黑客的选择”黑客组织也演示了通过“Sure Signal”设备,完全有可能针对本地系统发动几种有效的攻击。总结一下,主要有以下几条。
·通过“安全的Shell连接”(Secure Shell,SSH),可以禁止“Sure Signal”设备的本地防火墙提供网络远程访问。
·通过内置的fpgaP0工具,可以增加“Sure Signal”设备的发射功率(transmit power),提高“家庭基站”信号的有效覆盖范围。
·“Sure Signal”设备的配置是通过一组XML文件完成的,这些XML文件都保存在“/mnt/mainfs/oam_data/dynamic/backup/”目录中,每一个XML文件中的“dps.param”参数,表示的是与更新相关的操作项,所以,如果我们将XML文件中的“dps.param”参数从文件中删除掉,那么这个XML文件就无法指使“Sure Signal”设备从无线网络服务提供商提供的运营网络上下载和更新任何应用了。这种攻击看似没什么,但当设备上存在着可能被攻击的漏洞时,升级可以弥补这一漏洞,而不升级则危险始终存在。
·如果从上述同样的XML文件中,删除BVG这一节的内容,那么“Sure Signal”设备就会停止向无线网络服务提供商提供的运营网络报警了。这样做会停止该设备向无线网络服务提供商提供的运营网络提供出错或被攻击的证据。
一旦到“Sure Signal”设备的远程访问建立成功,通过设备的灵活配置,这时“黑客的选择”黑客组织就可以利用平台完成几个额外的攻击,其描述如下。
1.3G网络中的国际移动用户标识符捕获器
Vodafone公司的“Sure Signal”设备是专为“有限使用”(limited-use)的场景情况下设计的。这里的“有限使用”指的是允许同时连接到该设备上的设备数量。对于一个“用户设备”,要连接到“Sure Signal”设备上,一个先决条件就是“Sure Signal”设备上的管理员必须将这个“用户设备”的“通用用户识别模块”(Universal Subscriber Identity Module,USIM)上的“国际移动用户标识符”,先期增加到自己的“允许访问设备列表”(list of permitted device)中。
“黑客的选择”黑客组织成员发现这个功能在“Sure Signal”设备上,并不是强制执行的,这就意味着“Sure Signal”设备可以被配置为一个“国际移动用户标识符”捕获器(IMSI catcher),只要我们编辑“/opt/alu/fbsr/oam_data/dynamic/restore/Bulkcm.xml”文件,然后找到并修改其中的“femtoACLenable”参数,将其值由true变成false即可。修改后的“Sure Signal”设备不再根据“允许访问设备列表”中的“国际移动用户标识符”作为依据判断某个用户是否允许连接到设备上,而是最终允许任何用户连接到该“用户设备”上。
当不知情的“用户设备”连接到“Sure Signal”设备以后,“国际移动用户标识符”信息就会以XML文件的格式保存在/mnt/mainfs/oam_data/dynamic/backup目录中。更重要的是,“用户设备”将会通过“Sure Signal”设备的宽带接口连接到Vodafone的无线网络服务提供商提供的运营网络上,这无疑给攻击者一个机会,可以捕获和提取3G无线通信网络上的语音通话和数据通信信息。
2.3G网络中语音通话记录的侦听
由于“Sure Signal”设备在3G无线通信网络中会在发送语音之前加密语音通信数据包,然后通过IPsec协议连接到无线网络服务提供商提供的运营网络上,对于攻击者来说,就可以使用“国际移动用户标识符”IMSI捕获器功能来引诱要攻击的设备远程连接到无线网络服务提供商提供的运营网络上,借此机会侦听音频对话。然而,要想提取并解密音频内容,一个必要的机制就是,必须在建立IPSec连接之前,先侦听到整个通话最初的“语音呼叫”(voice call)。
“黑客的选择”黑客组织成员使用Linux操作系统中的netfilter功能,该功能可以允许一个用户空间(user-space)的程序,可以以“tap”的搭线窃听的方式侦听Linux操作系统的核心数据并且在该用户空间中处理这些数据,然后再将这些数据回传给Linnx操作系统的核心中,用于随后对外发送时使用。该组织成员所用的工具,名叫umts_sniffer,注册了一个netfilter的socket通信接口,以便捕获和保存解密的音频文件到本地的文件系统中,该程序的示意图如图12-12所示。要下载这样的嗅探器,可以到网站https://wiki.thc.org/vodafone?action=AttachFile&do=get&target=umts_sniffer-0.1.tar.gz 下载umts_sniffer-0.1.tar.gz文件,然后就可以为“Sure Signal”设备编译二进制可执行文件。有关umts_sniffer文件的介绍,请参阅该程序的网站介绍,网址是https://wiki.thc.org/vodafone?action=AttachFile&do=get&target=umts_sniffer 。
图12-12 程序示意图
首先,我们从IP数据包队列处理中下载netfilter软件的核心模块,有关IP数据包队列方面的介绍以及核心模块的下载地址,可以参阅维基百科所提供的网页,网页地址是https://wiki.thc.org/vodafone?action=AttachFile&do=get&target=ip_queue.ko 中的介绍。下载后将文件传送到“Sure Signal”设备上。下一步,我们加载该模块,其命令格式显示如下。
然后,我们将编译好的umts_sniffer二进制文件传送到“Sure Signal”设备上,并且不需要参数,直接运行。
最后,我们在Linux操作系统的iptables表中增加一个规则,那就是将所有“进接口”(inbound)和“出接口”(outbound)的数据包都以“实时传送协议”(Real-time Transport Protocol,RTP)的方式,重定向到一个音频数据流中。该音频数据流最终会到达umts_sniffer工具的接收队列(queue)中,并进行保存,这一步骤如下所示。
当“语音呼叫”通过“Sure Signal”设备生成的时候,音频数据会被提取,然后写入到指定的目录中。该目录的文件是umts_sniffer工具在程序启动的时候,使用当时的“日期时间戳”(date-stamp)作为文件名的,文件的内容是以“自适应的多码率”(Adaptive Multi-Rate,AmR)格式存储。“自适应的多码率文件”(AMR file)可以通过Windows版的“自适应的多码率播放器”(AMR Player)或QuickTime播放器进行播放。其中“自适应的多码率播放器”软件的下载网址是http://www.amrplayer.com/ 。
除了在3G网络上进行电话呼叫的音频侦听之外,“Sure Signal”设备也可以用来作为3G无线通信网络上数据包拦截的工具。
3.3G网络中数据包的嗅探
“用户设备”连接到“Sure Signal”设备上,通过3G网络的数据服务传输数据也存在数据容易遭到嗅探攻击的漏洞,即使是使用了IPsec协议,并在连接的时候对传送到无线网络服务提供商提供的运营网络的数据在发送前就进行了加密,但这种方式同样无法避免。不过,虽然通过类似于umts_sniffer这样的工具,能够在数据包到达后,并被设备合法地解密后,通过netfilter进程从用户空间中拿到解密的数据包也是可行的,不过这会限制“Sure Signal”设备对数据包的处理和保存能力。因而这种方法并不是一个理想的选择。
“黑客的选择”黑客组织成员采用了一个不同的方式对3G无线通信网络的数据通信活动进行捕获。他们没有使用“Sure Signal”设备本身的捕获功能,而是简单地捕获IPsec加密以后的数据包,并且捕获的工具更有趣,他们根本就没有使用“Sure Signal”设备,而只是根据使用环境不同,采用了网络“tap”式搭线窃听(network tap)、跨端口中转 [4] (span port),甚至直接使用一个“集线器”(hub) [5] 。“黑客的选择”黑客组织的攻击对象并不是在3G无线网络中所使用的“SNOW数据流式加密”(SNOW stream cipher)算法,或者是“KASUMI数据块加密”算法,而是将目标定位在“Sure Signal”设备和无线网络服务提供商提供的运营网络之间由IPsec协议加密(IPsec-encrypted)的数据包上,虽然在这个位置,既要使用解密工具,也要使用密钥材料,该侦听位置示意图如图12-13所示。
图12-13 侦听位置示意图
对于攻击者来说,直接访问IPSec的“封装安全有效载荷”(Encapsulating Security Payload,ESP)协议的通信数据包,并没有多大可以使用的优势,然而,通过使用“Sure Signal”设备,攻击者可以得到IPSec协议中的“安全关联”(Security Association,SA)信息,而“安全关联”信息可以揭示使用Linux操作系统上各IP工具的加密密钥信息。有了这些信息,攻击者可以通过以下步骤,捕获和解密3G无线通信网络中的通信数据包了:
1)在嗅探的连接上,通过网络“tap”搭线窃听、跨端口中转,或者“集线器”开始数据包的捕获操作,由于三者都是基于IP数据包结构的,所以可以使用tcpdump工具进行嗅探操作。如果我们将要捕获的数据包类型限制为“封装安全有效载荷”协议,那么捕获到的数据包将只有3G网络活动,这种设置操作是通过在tcpdump工具中应用一个“封装安全有效载荷”协议数据包过滤器(filter)实现的。设置好,并开始运行以后,就可以将数据包捕获程序暂放一边,让它运行一段时间,然后再看该程序对要攻击的3G网络连接的捕获情况了。
2)从你的shell外壳程序访问“Sure Signal”设备,周期性地运行“ip xfrm state”命令,其目的是显示被诱骗的“用户设备”在连接到无线网络服务提供商提供的运营网络时产生的IPsec协议的“安全关联”信息:
3)当你准备检查3G无线通信网络的通信数据包捕获情况的时候,可以停止tcpdump进程,然后在Wireshark程序中打开所捕获的数据包。然后配置Wireshark软件解密“封装安全有效载荷”通信数据包,其操作方式是单击“编辑(Edit)|偏好(Preferences)|协议(Protocols)|ESP协议(ESP)|编辑(Edit)”菜单,然后填充交换双方的IPSec协议的“安全关联”信息,该界面类似于图12-14所示的实例。输入“封装安全有效载荷”交换双方的上述信息以后,单击“确定”(OK)按钮保存生效。Wireshark工具将应用新的设置,对“封装安全有效载荷”的交换数据进行解密,解密成功以后,就可以查看解密后数据包的内容,如图12-15所示。
4.Vodafone公司针对“Sure Signal”设备发布的补丁
就在“黑客的选择”黑客组织公布了对Vodafone公司产品的新发现之后,Vodafone公司迅速做出反应,发布了一对补丁,这两个补丁可以自动分发和应用到“Sure Signal”设备上。Vodafone公司表示补丁解决了由“黑客的选择”黑客组织所指出的访问漏洞,可以防止“Sure Signal”设备运行老的固件,以至于无法连接到Vodafone无线网络服务提供商提供的运营网络上下载到最新版本的补丁。而且当一个不知情的用户通过合法的方式连接到Vodafoner的网络时,该补丁也可以防止一个恶意攻击者配置他的“Sure Signal”设备去捕获该用户的连接,以及防止设备与该用户进行连接。
图12-14 Wireshark针对IPsec解码数据时的“偏好”设置界面
图12-15 Wireshark软件对IPsec协议网络活动的解密实例
通过“黑客的选择”黑客组织的鉴定,Vodafone的补丁确实解决了一些问题,但这些补丁并不能解决与“家庭基站”设备安全息息相关的根本问题。一个经验丰富的黑客仍然可以在“Sure Signal”设备上访问到其操作系统的shell外壳环境。当然,这需要通过一些新的外壳访问技术,比如利用系统启动的时候,作为一个系统“引导加载器”(system bootloader),再比如使用最新版的“bash外壳休克”(bash Shell Shock)漏洞,再比如系统中的另外一个漏洞。总之,一旦获得了shell外壳环境,就可以“伪造”一个假的,较低的固件版本号向Vodafone的官方网站进行上报,然后让Vodafone的官方网站主动连接不知情的被攻击者,“劝说”该“用户设备”去主动连接无线网络服务提供商提供的运营网络。最终,这样的配置还是会产生未经授权的用户访问3G无线网络,而黑客则通过强大的嗅探工具,侦听其连接过程中的语音通信和数据通信数据包,进而如法炮制地破解其中的通信内容。
这个“黑客的选择”黑客组织入侵Vodafone公司的“Sure Signal”设备的实例,是对“家庭基站”设备的恶意潜在威胁。这种威胁尽管对于“全球移动通信”无线通信网络存在限制,但从其破坏力上来说,这是一个非常有用的威胁实例。“Sure Signal”设备的入侵方式被公开不久,另一个项目展示了“家庭基站”设备类似的漏洞所遭受的另一种攻击方式,那就是Verizon和Sprint针对3G“码分多址访问”(CDMA)无线通信网络的攻击。
入侵Verizon公司和Sprint公司的家庭基站
在针对Vodafone公司“Sure Signal”设备成功入侵的事情刚刚平息,紧随其后的另一个独立的攻击事件就接踵而来,不过,这次被攻击的主角变成了Verizon公司的“家庭基站”设备。实施攻击的人分别是Doug DePerry、Tom Ritter和Andrew Rahimi,都来自于“iSEC合作人”(iSEC Partners)组织,通过他们的入侵演示,可以知道针对“家庭基站”设备的恶意攻击问题已不再局限于“全球移动通信”无线通信网络服务提供商,而是延伸到3G CDMA和EV-DO [6] 网络服务提供商。
Doug DePerry和其团队专注于使用Verizon公司的SCS-26UC4设备和Samsung公司的SCS-2U01设备。SCS-26UC4设备的实物图如图12-16所示,此外,该SCS-26UC4设备作为一个Sprint AIRAVE的数据再打包文件,使Sprint用户遭受到类似的攻击。
图12-16 SCS-26uc4设备实物图
通过外形观察,Doug DePerry发现这款Verizon公司的SCS-26UC4设备的外壳上有一个HDMI接口,通过该接口可以插入一个扩展的系统控制台模块,通过操纵控制台,Doug DePerry以及其团队成员就可以轻易地获得该基站设备上root用户的shell外壳命令的访问权,然后轻而易举地识别出该基站设备是建立在MontaVista版Linux操作系统平台上。经过进一步的研究和一些在所难免的弯路,他们能够在这个设备的Linux内核中开发和使用一个定制的Linux内核模块。这个内核模块可以在数据转发之前就捕获和解密“用户设备”的连接活动,虽然这个活动是建立在IPSec协议,与Verizon无线网络服务提供商提供的运营网络的加密后的连接,但这并不影响后面的破解。
如前所述,“家庭基站”设备的两边,分别连接到“用户设备”和无线网络服务提供商提供的运营网络上,因此,既然可以访问到两次连接中解密的数据,那么有几种黑客感兴趣的攻击方式都成为了可能。
·自动的、沉默的“用户设备”加入 (automatic,silent UE join) Samsung的“家庭基站”设备允许任意的“用户设备”加入到“家庭基站”中,这一点不像“Sure Signal”设备的默认配置。不过,Doug DePerry以及其团队成员报道说,当他们的“用户设备”在连接到“家庭基站”设备上的时候,在他们的“用户设备”上并没有显示出连接成功的标志。
·语音通话的侦听 (audio eavesdropping) 电话呼叫与接听者之间的语音通话内容,可以通过“家庭基站”设备以“明文” [7] 的方式记录保存在文件中。此外,研究小组发现在“用户设备”连接设备的麦克风(microphone)会不停地将音频内容发送出去,即使是在接收接听方的说话回复的时候,也不会停下。这就为入侵创造了一个机会,他们可以在电话呼叫建立之前,就用周围的声音向对方发送。
·“手机短信服务”和“手机彩信服务”的侦听 (SMS/MMS eavesdropping) “手机短信服务”和“手机彩信服务”的内容可以通过“家庭基站”设备方式以“明文”的方式进行访问。用户可以将侦听得到的文本或媒体内容写入到文件中,以备以后查看。
·数据侦听 (data eavesdropping) 同样,CDMA2000的EV-DO版数据,只要是经过了“家庭基站”设备的转发,同样会被保存到libpcap文件中,以备随后查看。
·数据的修改 (data manipulation) Doug DePerry和其团队成员能够修改网络通信的数据包,只要这些数据经过“家庭基站”设备的转发。就可以通过sslstrip工具阻止“加密套接字协议层”(Security Socket Layer,SSL)的使用,进而为黑客创建机会实施数据嗅探。sslstrip工具的下载地址为http://www.thoughtcrime.org/software/sslstrip 。有些应用程序,比如Apple手机中的iMessage工具,对于sslstrip工具的攻击,就没有漏洞可言。但是Apple手机中的iMessage工具在遭受到这种攻击的时候会主动地拒绝使用该设备,然而这样的操作反而会造成iOS手机所发送的“手机短信服务”和“手机彩信服务”内容变得可以被黑客所访问。
·通话的克隆 (phone cloning) “家庭基站”设备对于阻止克隆攻击方面,缺乏现代安全机制。前面提到的数据加密,是指“蜂窝认证和语音加密”(Cellular Authentication and Voice Encryption,CAVE)数据的加密,而不是指手机间通信的协议数据也加密。因此,当被攻击的设备连接到“家庭基站”设备上时,会公开“电子序列号”(Electronic Serial Number,ESN)和“移动识别号”(Mobile Identification Number,MIN),有了这两个数据,就可以很容易将通话内容克隆到一个骗子的电话机上。而这个冒名顶替者的电话可以以“所冒充用户的身份”拨打电话和发送短信,对于接收方来说,根本分不出这是来自被攻击设备发出的信息,还是冒充者发出的信息。更为悲剧的是,冒充者打电话或发短信所产生的费用账单将会算到被攻击设备主人的头上来。
在2013年DEFCON [8] 黑客大会上,Doug DePerry和其团队展示了这些攻击技术,并随后发表了视频,突出强调了攻击视频的内容。读者可以从http://www.youtube.com/user/iSECPartners 网站上查到相关的内容。在写这段文字时,他们在演示实现这些攻击时所使用的工具尚未公开发布。这些攻击方式包括定制所需要的内核模块获得未加密的数据等。有关针对“家庭基站”设备入侵的附加信息可以从“iSEC合作人”组织的网站上找到,该网站的网址是http://www.isecpartners.com/blog/2013/august/femtocell-presentation-slides-videos-and-app.aspx 。
Verizon公司针对入侵的回应
在确定了Verizon公司的“家庭基站”设备存在漏洞以后,Doug DePerry和其团队就通知了Verizon公司该漏洞的各项细节。Verizon公司在确认了这些漏洞的存在以后,马上就推出了对该款“家庭基站”设备新的固件升级版本,并且声称已经解决这些缺陷。尽管进行了版本的更新,但是在随后一年的DEFCON黑客大会上,Doug DePerry和其团队成员展示了他们仍然可以成功地入侵Verizon公司的“家庭基站”设备,这意味着有几种可能,或者是Doug DePerry和其团队成员有办法让“家庭基站”设备拒绝安装无线网络服务提供商提供的运营网络提供的升级程序,或者是Verizon公司针对连接到“家庭基站”设备的修改部分并没有被强制地执行,以至于固件版本并没有得到修复升级。
对于“家庭基站”设备冒充式攻击的防御措施
作为一个终级用户(end-user),一个恶意入侵后的“家庭基站”设备代表着一种威胁。这种恶意入侵行为无疑破坏了3G无线通信网络连接的安全机制。作为一种防御方法,那就是面对存在被入侵可能的“家庭基站”设备,终端用户应该在他连接到这个设备的时候尽可能地识别出来,或者至少知道这样的“家庭基站”设备存在被侦听或被拦截、修改、复制的威胁。
对于基于“码分多址访问”(CDMA)系统的手机,当我们拿起电话话筒,准备打电话连接到一个“家庭基站”设备的时候,手机在通话前会发出一声短促“哔”(beep)的声音。这是“家庭基站”设备识别出要求用户拨打一个电话,然而,对于数据访问和“手机短信服务”和“手机彩信服务”内容收发,当手机在连接到“家庭基站”设备的时候却并不会提供这样声音提示的识别技术。
作为Doug DePerry和其团队成员研究的一部分,他们开发了一个Android操作系统上的应用程序,程序的名字叫作Femtocatcher,从“谷歌玩家仓库”(Google Play store)中可以下载,该应用程序的下载网址是https://play.google.com/store/apps/details?id=com.isecpartners.femtocatcher 。源程序的下载网址是:https://github.com/iSECPartners/femtocatcher 。以后台运行的方式运行FemtoCatcher程序,它会检查“网络标识号”(Network Identification Number,NID),并将其作为连接塔(connected tower)。如果“网络标识号”的值介于十六进制的0xFA和0xFF之间,那就表示这是一个“家庭基站”设备,当Femtocatcher程序检测到有一个“家庭基站”网络的时候,Femtocatcher程序会提醒用户,并且在你手工协助的处理方式下,切换到“飞行模式”(Airplane mode),这样就可以断开与可能是恶意网络的连接。其界面显示如图12-17。
图12-17 Femtocatcher界面
如我们前面演示的一样,一个遭到攻击后的“家庭基站”设备可以成为攻击者的有力工具。虽然无线网络服务提供商们正尽力通过在“家庭基站”设备上推出强制性补丁来削弱这些攻击的效果。一个识别出某产品存在某个漏洞的攻击者,可能会利用这个漏洞最终产品进入该产品的操作系统平台中,然后使用它来引诱不知情的“用户设备”去访问网络,而攻击者则从中侦听通信的数据包,查找敏感的信息。
接下来我们将看一下“第三代移动通信合作伙伴计划”(3GPP)规范在采纳了4G“长期演进技术”(LTE)技术以后,有关对4G无线通信网络上的各项攻击技术的发展状态,以及各无线网络服务提供商们对于黑客的攻击会采用什么样的技术来减轻这些攻击所带来的威胁。
[1] 根据第二代移动通信基站方的简称为“基站收发信台”BTS,所以这里作为第三代移动通信中基站方的NodeB中的“B”指的就是Base(基站)的意思。而第四代基站则称为eNodeB。控制器方面,第二、第三、第四代无线通信的控制器分别简称为BSC(2G)、RNC(3G)、无控制器(4G)。——译者注
[2] 从运营业务上来讲,这也完全可以理解的,无线移动商为我们提供了基站,我们利用基站进行家庭级的内部通信或顶端级基站间的通信,就可以绕开无线移动提供商的计费系统,实现内部免费通信,就像现在很多单位内部的内线电话和内部局域网都是免费的一样。这很显然不是无线移动提供商所想要的。——译者注
[3] Vodafone,中文名“沃达丰”公司,是英国一家跨国性的移动电话运营商,现在为世界上最大的移动通讯网络公司之一。总部设在英国伯克郡的纽布利及德国的杜塞尔多夫。这个名字Vodafone,是语音(Voice)、数据(Data)、Phone(电话)三个单词的语音前缀及稍做调整后的合成词。——译者注
[4] “跨端口中转”相当于端口级的“中间人攻击”,假设Pa、Pb两个程序通过端口p1进行通信,现在有Pc程序处于两个程序中间,通过端口p2与Pa通信,通过端口p3与Pb通信,Pc程序接到Pa的数据就无条件转给Pb,同样接到Pb的数据就无条件转给Pa,同时还可以将二者通信的数据保存到本地。——译者注
[5] “集线器”(hub)是现在交换机的最初形式,其原理是只要有一个端口有数据要发,就将数据发送到所有端口上。这种数据交换设备最大的问题是当多个端口同时有数据通信的时候,会因为数据冲突量暴增而使通信效率急剧下降,甚至导致网络瘫痪。但这种设备对于单向广播式环境(比如有线电视、网络电视IPTV)或黑客入侵场合,是一个极好的通信方式。——译者注
[6] EV-DO是Evolution、Data、Only三个单词的缩写,全称为“CDMA2000 1x EV-DO”。即“‘码分多址’CMMA的2000版中,第一阶段只对数据进行推进的一个版本”。——译者注
[7] 这里的“明文”很显然不是语音通话中,说话内容的文字,而是说话的语音直接以未加密的方式下保存了。随后一项中,“手机短信服务”和“手机彩信服务”的“明文”也是同一意思。——译者注
[8] DEFCON世界黑客大会,每年7、8月间在美国拉斯维加斯举行,交流最前卫的黑客攻防技术。属于世界顶级的黑客大会。——译者注