SIM卡盒子与手机有什么不同?
撰文 | 杨易明
编辑 | 刘梦迪
一、背景介绍
在2023年NDSS会议上,来自韩国技术科学院的Beomseok Oh、Junho Ahn等人提出使用SIM卡盒子的设备指纹进行识别,阻止其接入运营商网络,从而预防和阻止诈骗犯罪。SIM卡盒子是一种可以插入多个SIM卡的IoT设备,使得多张SIM卡可以同时接入运营商网络。通过VoIP技术,攻击者可以跨国使用SIM卡盒子拨打电话,一方面可以用于逃避跨国的高额电话费用,另一方面可以伪装当地电话进行电信诈骗。
SIM卡盒子的工作原理
本文提出的方法主要使用了手机和IoT设备接入运营商网络时提供的控制面板消息(Control-plane Messages)的不同,构建不同设备的指纹,从而达到区分不同设备的目的,进而限制SIM卡盒子接入运营商网络。
二、指纹生成
在LTE网络中,设备接入网络需要提供其IMEI(International Mobile Equipment Identity)、ATTACH Request和UECapabilityInformation。IMEI主要用于识别设备,但易于伪造,难以分辨真假。ATTACH Request包含设备支持的功能,包括安全算法、语音编解码器、是否支持网络和电话功能等。UECapability Information包含设备的无线接入相关能力,包括设备的支持射频、载波聚合配置和无线资源调度能力。在本文中,主要使用ATTACH Request和UECapabilityInformation构建设备指纹,IMEI用于辅助验证。
指纹构建流程
在构建设备指纹时,首先将ATTACH Request和UECapabilityInformation的所有信息转化成一个特征向量,然后经过以下3步进行特征选取:
-
通过标准文件使用半自动的方法除去无关设备的特征;
-
通过更换设备的不同配置信息,去除无关配置的特征;
-
通过自动化方法细化特征向量,细化后的特征向量即为指纹。
通过上述3步特征选取,成功将31118个特征削减到922个特征。
三、设备的指纹
在本文中主要研究了手机的指纹和IoT设备指纹的区别,其选取了102款设备,包括85款手机、6个SIM卡盒子和其他IoT设备。通过102款设备,本文构建了8个数据集,包括默认配置数据集、配置变更数据集、特定频率基带数据集、更新后数据集等。
在默认配置数据集的手机中,通过本文方法可以提取83个指纹,成功率达到97.6%,不能成功分辨的手机与其同系列手机近似。在配置更改情况下,手机的特征也会发生改变。
配置变更导致的特征变更数量
根据实验,本文发现手机指纹主要受到以下因素影响:
-
基带生产商(导致基带配置和基带功能的不同)
-
手机生产商(选择使用基带的功能的不同)
本文关于IoT设备的实验表明,IoT设备相比于手机的指纹差距巨大,因为手机使用单独的IMEI,而IoT设备使用基带的IMEI,导致使用相同基带的IoT设备指纹类似,不一定具有唯一特征。
四、限制SIM卡盒子入网策略
基于以上研究,本文提出了一套限制SIM卡盒子入网策略,该策略分为两阶段:
-
验证IMEI信息跟设备指纹是否一致;
-
验证运营商订阅计划是否符合设备。
第一阶段主要分辨设备的IMEI是否伪造,如果IMEI显示是手机设备,而指纹显示是IoT设备,那么该设备会被拒绝入网。当且仅当设备的IMEI和指纹设备一致时,进入第二阶段验证。在第二阶段中,由于手机付费策略和IoT付费策略不同,可以检查付费策略和IMEI是否一致,拒绝不一致的设备入网。
限制SIM卡盒子入网策略
总结
本文提出了基于设备指纹识别限制入网的策略,可以有效区分手机和IoT设备,避免SIM卡盒子伪装手机接入运营商网络。但是本文的策略仍有几个问题,首先是数据集数量问题,随着厂家推出新的设备,运营商需要不断更新指纹数据库进行适配,这对厂家和运营商的维护都提出了要求。其次,3GPP组织关于LTE网络的标准仍在更新,每次更新都需要重新选取指纹,由于指纹特征选取中仍需要部分人工操作,所需工作量仍然是问题。
参考资料
[1] Oh B, Ahn J, Bae S, et al. Preventing SIM Box Fraud Using Device Model Fingerprinting[C]//NDSS. 2023.
往期精彩文章推荐
原文始发于微信公众号(数缘信安社区):防诈反诈:针对SIM卡盒子的指纹识别
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论