软件无线电和开源基站在漏洞挖掘中的应用 Part 1

原是去年五六月份给跳跳糖的投稿 -。-
HW 期间跳跳糖关站维护就没开过了。so，发在自己的博客吧。

公开时间：2020/03/08

0x00 概述

17年写的使用OpenBTS基站测试物联网模块当时因为一些原因，中断了这方面的一些研究。

后面因为在工作中继续接触了2G/GSM、3G/UMTS以及4G/LTE的一些开源项目，然后慢慢意识到：开源基站在研究领域的用途不单单限于对IoT智能硬件GPRS流量的劫持这一方面。

0x01 分析

目前，市面上的智能硬件普遍使用WIFI、ZigBee&网关、蜂窝网络与云端服务器通信。

对于使用WIFI的设备而言，对相关设备进行测试相对容易，通过搭建WIFI热点将设备接入该热点，便可以对设备的通信流量进行拦截、嗅探分析。

ZigBee方面，借助于TI德州仪器的一些USB dongle、以及ApiMote等相关硬件可实现对设备无线数据包的嗅探抓取。

‘HackRF’ for Zigbee pic.twitter.com/7XbdY9ID7F
— HackSmith (@cn0Xroot) November 3, 2018

蜂窝网络方面，像智能水表、智能电表以及共享单车，它们都是加入了一些联网模块。这些IOT设备，由于它们对于网速要求不是很高，另外厂商为了要控制成本，所有通常采用2G GSM模块的解决方案。

而硬件开发者普遍会过于依赖、过于相信运营商的蜂窝网络管道，觉得通信流量很难被劫持，所以导致在实际运用中终端模块与云端通信不走加密直接明文通信。

因为2G是单向鉴权，所以导致2G网络中的设备很容易被劫持，下面这幅图演示的就是通过OpenBTS+USRP实现一个小型的2G基站，并劫持了一款智能水表，劫持之后所有的设备流量都会经过我这台电脑，而不是运营商的基站。

DEF CON 26 – Zeng and Panel – Lora Smart Water Meter Security Analysis

PDF

0x02 扩展

2G GSM的可玩性强：

因为2G单向认证这一问题，可以很容易将GSM设备吸附到开源基站中；
介于数码产品有个向下兼容的特性，即使是3G、4G甚至是5G手机都会实现对2G GSM的兼容支持；
GSM可用于无需物理接触，远程触发的场景。（3G、4G因为是双向鉴权、需将SIM卡中的Key读取导入基站数据库，或者需替换自己写入key的SIM插入设备，需要物理接触）

正如开头所说，开源基站在研究领域的用途不单单限于对IoT智能硬件GPRS流量的劫持这一方面。

2016年，Seeker曾在黑客大会 KCon 上演讲《伪基站高级利用技术——彻底攻破短信验证码》，这项技术和360独角兽安全团队曾揭秘的 LTE 伪基站技术原理相同。

“GSM 中间人攻击的历史更悠久，我既不是第一个发现的人，也不是第一个实现这种攻击方法的人。我不过是捅破窗户纸的那一个。”

PDF：https://github.com/knownsec/KCon/blob/master/2016/%5BKCon%202016%5D0828_3_Seeker_%E4%BC%AA%E5%9F%BA%E7%AB%99%E9%AB%98%E7%BA%A7%E5%88%A9%E7%94%A8%E6%8A%80%E6%9C%AF.pdf

雷锋网采访：https://www.leiphone.com/news/201611/bn5e0FKxetR7Gddd.html

2018年MOSEC安全会议上，@amatcama 分享了他在基带领域的一些研究，基带漏洞最大的威胁是可以通过OTA(空中接口)利用，即通过发射加载漏洞利用代码的无线电波，从空中接口利用漏洞，在受害者无任何感知的情况下，远距离对受害者进行攻击。通过软件无线电跟开源基站，在空口实现远程攻击基带，在 Android手机中执行命令、在RFS写入文件。另外，目前市面上存在很多基于 Android操作系统的智能智能网联车，开源基站也同样适用于网联车的破解。

MOSEC议题解读 | PWN2OWN shannon基带破解之旅

在国内，这方面研究比较深入、漏洞挖掘用得比较多的，像百度的小灰灰：Xcon劫持破解共享单车、对自动售货机的破解这方面都有应用到开源基站的技术。

智能水表、智能电表、车载多媒体…. 等设备均可通过这种方式实现漏洞挖掘、硬件破解。

新的攻击点还包括：

协议Fuzz、参数Fuzz、DDOS、重定向、SMS fuzz、命令执行。