老师限时5分钟讲清楚...(每张图片下方对应的文字就是我汇报时候的脚本)
在LTE网络中,我们有基站,我们有连接到这些基站的移动电话。
这篇文章展示了攻击者如何使用有限的攻击设备基本上可以跟踪所有用户
那么攻击者需要做什么来跟踪用户呢?首先它需要所有手机的位置。
其次,它需要知道手机的身份信息。
本文提出的LTrack技术就是在LTE网络中对手机的位置进行被动定位,并对它们的身份信息进行隐秘识别,从而实现对移动手机的隐形跟踪。
首先我们先介绍一点LTE的背景知识:
LTE就是一种广泛应用的高速无线通信技术。
在LTE网络中,所有内容都是紧密同步的,这对网络的时序精度和资源分配非常重要。
为了保证紧密同步,LTE中有一个特殊的消息,称为定时提前命令,这将告诉用户传播延迟了多少,以及用户应该提前多久发送数据。
看下面这个例子,基站发送上行链路DCI消息,它是基站向用户设备(UE)发送的控制信息,用于指示UE如何进行数据传输。并且预计在4ms后接收上行链路数据。
然而手机不是等待4ms,而是等待4ms减去定时提前命令中的值,然后用户手机将提前发送上行链路数据,并在预期时间到达基站。
那么我们如何使用这些信息进行被动定位呢?
利用名为LTEPROBE的探测器,LTrack能够被动地捕获LTE网络中的上行和下行信号。
这种监听是完全被动的,不需要与设备主动交互,也不会影响网络的正常运作。
而上面我们提到的时间提前命令是通过MAC层明文发送的,因此可以直接从探测器捕获的数据中读取。
时间提前命令中包含了调整信号传播延迟的信息,通过这个信息,就可以推断出手机在这个灰色环的位置。它的宽度是78m,这是因为定时提前命令的离散化误差。
到这里,我们得到了手机位置的第一个约束。
接下来的第二个约束是由于基本的传播延迟。
基站先发送上行链路DCI;
然后手机回复上行链路数据。
因为作者设计的探测器基本可以探测上行链路DCI和上行链路数据,它可以用这些数据传播的延迟进行计算,得到以基站和监听设备作为焦点的椭圆,手机就在这个椭圆上。
利用第一个约束中的圆和第二个约束中的椭圆,就可以通过他们的交点定位用户手机。
使用额外的探测器可以更精确地定位用户手机。
接下来我们来看看隐秘识别是如何实现的。
LTE协议中所有用户有两个标识符,一个叫IMSI,另一个叫TMSI。
IMSI:硬编码在SIM卡上的持久标识符,它永远不会以纯文本的形式发送,或者仅在用户第一次连接到网络时发送。
TMSI:由网络分配的临时标识符,它会定期更改,并在每一次连接时发送。
如果我们用TMSI进行身份识别,当它发生变化时,我们将无法确认原来的手机。
因此我们需要找到一种方法,从用户手机上获取IMSI进行身份识别。
传统的IMSI捕获通常是使用基于假基站的IMSI捕获器来完成的,而本文提出了一种名叫精确消息覆盖的新方法。
与假基站一直发送某些内容不同,这个新方法只覆盖协议中的一条信息。
由于修改的信息有限并且发送的时间很短,攻击者发送的信号与合法基站的信号时间和频率基本完全对齐,并且功率只比原始信号高了1.8DB,而假基站方法大约要高30DB。
因此,这种覆盖方法非常隐蔽正常检测方法根本无法检测到,于是用户设备(UE)会“认为”这些信号是从真正的基站来的。
接下来我们来看看新方法获取IMSI的具体过程。
在UE建立网络连接(例如,当手机从休眠中唤醒并尝试建立数据连接)后,UE向基站发送服务请求,正常情况下基站会回复安全模式命令。
而攻击者可以发送一个身份请求覆盖这条消息,向手机询问其IMSI。
由于这在LTE协议中是允许的操作,因此UE不会认为这是异常的,从而回应一个包含IMSI的身份响应。
这张wireshark图片中显示了作者在真实世界网络中获得的IMSI。
扫一扫
216
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
