本文已参与「新人创作礼」活动，一起开启掘金创作之路。

本期紧接上期（传送门），继续讲解有关移动蜂窝网的安全问题。

上期（传送门）讲了WiFi和LTE的实现细节，本期就来看看移动蜂窝网的安全问题。

伪基站

早些年的伪基站群发诈骗短信就是，利用2G通信的协议漏洞进行攻击的。很多这样的报道：

一旦涉及到网络安全，那么需要了解，破坏公用电信设施以及扰乱电信设施正常运行，都是需要承担相应责任的，如图：

  伪基站一般是由支持特定频率的信号发射装置、短信发射器（包括群发器），构成的特定装置，它利用移动信令监测系统监测移动通讯过程中的各种信令过程，通过搜取以其为中心、一定半径范围内的手机信息，伪装成运营商的基站，伪造任何手机号码向他人手机（伪基站只能获得手机的IMSI，获取不了被侵扰人的手机号码）强行发送特定目的的短信，比如广告、诈骗、甚至政治敏感的短信。

  换言之，“伪基站”是一种无线电通信设备，能够搜取以其为中心、一定半径范围内的移动电话信息，并任意冒用他人手机号码强行向用户手机发送诈骗、推销等垃圾短信。与正规的运营商使用的小型基站相比，伪基站的射频信号、通信协议等工作原理是一样的。因为只有这样才能和手机通信，一般是在手机开机登录网络时被伪基站劫获，实现通信。不过一般正常情况我们没有那么频繁的开关机，所以攻击者会先使用干扰信号将我们手机断开与正常基站的连接，然后手机再次搜索时就会被伪基站获取。

  也就是说伪基站运行时，用户手机信号无法连接到公用电信网络，会影响手机用户的正常使用。当然它最可怕之处还是在于可以冒用任意号码发送短信，这样攻击者就可以伪装成我们熟悉的机构发送短信，这样我们上当的概率大大增加。

短信嗅探

  你信吗？不需要你点什么钓鱼链接、也不需要你登录什么网站、也不需要你去ATM机干什么、也不需要给你打诈骗电话、也不需要你说出银行卡密码…总之不需要你的任何配合，就可以把你存款全部转走，你信吗？

  这项技术称为“GSM劫持+短信嗅探”。作案手法就是通过改造摩托罗拉118的手机，把它变成一个接收天线，再配合特定的U盘系统，打开电脑就可以模仿基站信号，拦截、嗅取探测周围手机短信，相当于一个简单的拼接过程。具体来说：硬件上，只需要购买一个不到30元钱的摩托罗拉C118手机，用几个常用电子元件改装便可；而软件上，将修改过的OsmocomBB编译进摩托罗拉C118手机里面，就可以为手机添加嗅探功能。

  其原理就是OsmocomBB是从硬件层到应用层彻彻底底开源的GSM协议实现项目。因为是开源，黑产从业者可以轻而易举获得该代码，甚至不必大量去学习通信相关专业知识，就能实现并模拟GSM协议，按照自己的需求随意更改，添加功能。

  除了摩托罗拉C118，还有摩托罗拉、索尼、爱立信的多个机型，均可被用于该技术。但是，攻击者大多选择摩托罗拉C118进行改造，其原因就是摩托罗拉C118兼容性最好，价格便宜，所以也就成为了最合适的手机。

  整个过程原理：利用平台验证机制漏洞+GSM协议漏洞。因为现在很多平台登录、改密、转账等敏感操作，都需要通过向操作者发送手机短信验证码来进行确认。攻击者利用这一机制，伪装成受害者登陆进行转账，然后截获受害者的短信验证码，这样就成功实施攻击了。

该攻击实施需要3个条件：知道受害者的手机号，同时必须在受害者附近（在改造的C118手机的嗅探范围内，一般几百米左右）、对方处于2G信号状态。

攻击设备大概是这样子的，很简单，如图：

有人可能说，现在都是4G时代，马上进入5G了，谁还用2G啊，不用担心。但是，有时我们信号很差时，就会切换至2G/3G，上一期也有讲（传送门），如图，这是我在某地下商场卫生间时，由于信号不佳，从4G降频至2G：

  因此攻击者就利用这一特点，通过特殊设备压制或者信号质量不佳导致信号降频。也就是说，虽然攻击者不能获取你4G信号的手机短信，但是通过设备制造干扰来压制手机信号，迫使手机从4G降频至2G，从而实施攻击。

  C118做成的嗅探器类似于伪基站，可以利用移动信令监测系统监测移动通讯过程中的各种信令过程，获得手机用户当前的位置信息。按照通信协议世界的“游戏规则”，谁来先跟你“握手”，设备便会优先作出回应。伪基站启动后就会干扰和屏蔽一定范围内的运营商信号，之后则会搜索出附近的手机号，主动握手，并将短信发送到这些号码上。屏蔽运营商的信号可以持续10秒到20秒，短信推送完成后，对方手机才能重新搜索到信号。

  2G网络其架构本身就是开源的，其使用的GSM协议也都是明文传输。因为并没有加密，所以在传输的过程中就可以嗅探到。

  不过听起来很吓人的“GSM短信嗅探技术”并非没有自己的软肋。本文前半部分也讲到了一点，GSM短信嗅探技术的短板，主要有两方面，“一方面是摩托罗拉C118发射功率有限，黑产从业者只有在‘猎物’附近时才能实现嗅探，距离被严重限制；另一方面是这种方法获取的信息比较单一，只能获取短信验证码，所以只能做与短信验证码相关的事情。”

短信验证码

  当用户忘记密码的时候，可以通过手机号发送验证码的方式找回密码。这一切对用户来说似乎很方便，也很安全。可是不法分子恰恰利用这种登录方式，选择在夜深人静、人们防范意识比较低的时候，在自己的手机或电脑上输入用户的手机号，再用截获的动态验证码登录用户的APP，达到盗窃用户资金的目的。

  面对攻击者背后庞大的黑产链，短信验证码是否已经显得捉襟见肘了呢？虽然在嗅探的情景下，短信验证码并不安全，但是就目前来说，短信验证码仍是一个切实可行的方案。如果将短信验证码换成其他的验证方式，无形之中肯定会加大使用成本。安全是相对的，就看愿意付出多大的代价。安全性与便捷性相平衡，短信验证码相对合适。安全本身就是提升攻防双方的成本，并没有绝对的安全。

  攻击者在截获短信验证码后，能够假冒受害者身份，成功通过移动应用、网站服务提供商的身份验证安全机制，实施信用卡盗刷等网络犯罪，给用户带来经济损失。

  这种短信嗅探利用的漏洞，是协议级别的漏洞。所以该缺陷修复难度大。GSM网络使用单向鉴权技术，且短信内容以明文形式传输，缺陷是由GSM设计造成，且GSM网络覆盖范围广，因此修复难度大、成本高。攻击过程中，受害者的手机信号被劫持，攻击者假冒受害者身份接入通信网络，受害者一般难以觉察。

总结

  就目前来说，大部分2G频段都已陆续关停，手机基本上全面处于3G/4G时代，并且正在向5G跨越。4G网络已经非常普及，而且安全性非常高，所以大部分情况不会受到攻击，就算攻击也需要受害人配合，所以现在移动蜂窝网还是很安全的。为了提高安全性，可以开通VoLTE服务，这样通话和短信都是走的4G通道，相对安全很多。查看是否开通也很简单，注意手机屏幕上方是不是有“HD”的字样，有的话就是开通了VoLTE的服务。

  感兴趣的小伙伴可以关注笔者公众号：极客随想。主要分享一些网络安全，黑客攻防，渗透测试以及日常操作系统使用技巧相关的知识。