软件无线电在智能硬件漏洞挖掘中的应用

  • A+
所属分类:安全文章

软件无线电在智能硬件漏洞挖掘中的应用

0x00  概述

17年写的使用OpenBTS基站测试物联网模块当时因为一些原因,中断了这方面的一些研究。
软件无线电在智能硬件漏洞挖掘中的应用
后面因为在工作中继续接触了2G/GSM、3G/UMTS以及4G/LTE的一些开源项目,然后慢慢意识到:开源基站在研究领域的用途不单单限于对IoT智能硬件GPRS流量的劫持这一方面。

0x01  分析

目前,市面上的智能硬件普遍使用WIFI、ZigBee&网关、蜂窝网络与云端服务器通信。
对于使用WIFI的设备而言,对相关设备进行测试相对容易,通过搭建WIFI热点将设备接入该热点,便可以对设备的通信流量进行拦截、嗅探分析。
ZigBee方面,借助于TI德州仪器的一些USB dongle、以及ApiMote等相关硬件可实现对设备无线数据包的嗅探抓取。
软件无线电在智能硬件漏洞挖掘中的应用
蜂窝网络方面,像智能水表、智能电表以及共享单车,它们都是加入了一些联网模块。这些IOT设备,由于它们对于网速要求不是很高,另外厂商为了要控制成本,所有通常采用2G GSM模块的解决方案。
而硬件开发者普遍会过于依赖、过于相信运营商的蜂窝网络管道,觉得通信流量很难被劫持,所以导致在实际运用中终端模块与云端通信不走加密直接明文通信。
因为2G是单向鉴权,所以导致2G网络中的设备很容易被劫持,下面这幅图演示的就是通过OpenBTS+USRP实现一个小型的2G基站,并劫持了一款智能水表,劫持之后所有的设备流量都会经过我这台电脑,而不是运营商的基站。
软件无线电在智能硬件漏洞挖掘中的应用

0x02  扩展

2G GSM的可玩性强:
因为2G单向认证这一问题,可以很容易将GSM设备吸附到开源基站中;
介于数码产品有个向下兼容的特性,即使是3G、4G甚至是5G手机都会实现对2G GSM的兼容支持;
GSM可用于无需物理接触,远程触发的场景。
软件无线电在智能硬件漏洞挖掘中的应用
3G、4G、NBIoT以及5G因为是双向鉴权、需将SIM卡中的Key读取导入基站数据库,或者需替换自己写入key的SIM插入设备,需要物理接触。
软件无线电在智能硬件漏洞挖掘中的应用
正如开头所说,开源基站在研究领域的用途不单单限于对IoT智能硬件流量的劫持这一方面。
2016年,Seeker曾在黑客大会 KCon 上演讲《伪基站高级利用技术——彻底攻破短信验证码》,这项技术和360独角兽安全团队曾揭秘的 LTE 伪基站技术原理相同。
“GSM 中间人攻击的历史更悠久,我既不是第一个发现的人,也不是第一个实现这种攻击方法的人。我不过是捅破窗户纸的那一个。”
PDF:
https://github.com/knownsec/KCon/blob/master/2016/%5BKCon%202016%5D0828_3Seeker%E4%BC%AA%E5%9F%BA%E7%AB%99%E9%AB%98%E7%BA%A7%E5%88%A9%E7%94%A8%E6%8A%80%E6%9C%AF.pdf
雷锋网采访:
https://www.leiphone.com/news/201611/bn5e0FKxetR7Gddd.html
软件无线电在智能硬件漏洞挖掘中的应用
2018年MOSEC安全会议上,@amatcama 分享了他在基带领域的一些研究,基带漏洞最大的威胁是可以通过OTA(空中接口)利用,即通过发射加载漏洞利用代码的无线电波,从空中接口利用漏洞,在受害者无任何感知的情况下,远距离对受害者进行攻击。
通过软件无线电跟开源基站,在空口实现远程攻击基带,在 Android手机中执行命令、在RFS写入文件。另外,目前市面上存在很多基于 Android操作系统的智能智能网联车,开源基站也同样适用于网联车的破解:
软件无线电在智能硬件漏洞挖掘中的应用
在国内,这方面研究比较深入、漏洞挖掘用得比较多的,像百度的小灰灰:Xcon劫持破解共享单车、对自动售货机的破解这方面都有应用到开源基站的技术。
智能水表、智能电表、车载多媒体.... 等设备均可通过这种方式实现漏洞挖掘、硬件破解。
新的攻击点还包括:
协议Fuzz、参数Fuzz、DDOS、重定向、SMS fuzz、命令执行。
软件无线电在智能硬件漏洞挖掘中的应用

0x03  开源基站方案

软件无线电在智能硬件漏洞挖掘中的应用
通过SDR软件无线电实现可以实现对基站通信进行安全研究,国外有很多开源的基站系统,都能实现通过SDR+开源系统的方案搭建自己的2G、3G、4G甚至5G基站。
2G:OpenBTS,YateBTS,普遍配合USRP和BladeRF两块SDR开发板;
3G:OpenBTS的UMTS 3G分支以及OSmocom的3G 项目
软件无线电在智能硬件漏洞挖掘中的应用
4G方面用得比较多的则有SRSLTE、OAI等等(OAI也有5G的分支)。
另外,SRS在今年五月初的升级版本里面添加了LTE TDD的支持,增加了在这方面的可玩性:

软件无线电在智能硬件漏洞挖掘中的应用

0x04  吸附设备

软件无线电在智能硬件漏洞挖掘中的应用

基站在运行之后,会有一块用于数据流量的虚拟网卡,该网卡类似于流量网关,与基站通信的所有UE设备的流量都会经过该网卡,通过wireshare捕获网卡的流量可实现基于流量业务的漏洞挖掘:探测IoT设备的云服务器域名、IP等资产信息。

0x05  参考

RFSec-ToolKit:
https://github.com/cn0xroot/RFSec-ToolKit

Nico Golde ,Breaking Band–reverse engineering and exploiting the shannon baseband :
https://comsecuris.com/slides/recon2016-breaking_band.pdf

DEF CON 26 - Zeng and Panel - Lora Smart Water Meter Security Analysis

黑客炼金术士 Seeker:可以攻破 4G 摸到你短信,还要为朝阳群众提供谍战工具。

https://www.leiphone.com/news/201611/bn5e0FKxetR7Gddd.html

Kcon Seeker 伪基站高级利用技术

“截获短信验证码”盗刷案多地出现:利用2G网络缺陷难防范

https://tech.sina.com.cn/roll/2018-08-04/doc-ihhhczfa2673301.shtml



原文来源:看雪学院

软件无线电在智能硬件漏洞挖掘中的应用

本文始发于微信公众号(关键基础设施安全应急响应中心):软件无线电在智能硬件漏洞挖掘中的应用

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: