首页
社区
课程
招聘
软件无线电在智能硬件漏洞挖掘中的应用
发表于: 2020-10-2 21:22 13230

软件无线电在智能硬件漏洞挖掘中的应用

2020-10-2 21:22
13230

内容仅供学习研究之用,并自备法拉第笼、切勿使用大功率功放影响正常通信,如有非法使用,造成后果须使用者自行承担!!!

17年写的使用OpenBTS基站测试物联网模块当时因为一些原因,中断了这方面的一些研究。
1
后面因为在工作中继续接触了2G/GSM、3G/UMTS以及4G/LTE的一些开源项目,然后慢慢意识到:开源基站在研究领域的用途不单单限于对IoT智能硬件GPRS流量的劫持这一方面。

目前,市面上的智能硬件普遍使用WIFI、ZigBee&网关、蜂窝网络与云端服务器通信。

对于使用WIFI的设备而言,对相关设备进行测试相对容易,通过搭建WIFI热点将设备接入该热点,便可以对设备的通信流量进行拦截、嗅探分析。

ZigBee方面,借助于TI德州仪器的一些USB dongle、以及ApiMote等相关硬件可实现对设备无线数据包的嗅探抓取。
2

蜂窝网络方面,像智能水表、智能电表以及共享单车,它们都是加入了一些联网模块。这些IOT设备,由于它们对于网速要求不是很高,另外厂商为了要控制成本,所有通常采用2G GSM模块的解决方案。

而硬件开发者普遍会过于依赖、过于相信运营商的蜂窝网络管道,觉得通信流量很难被劫持,所以导致在实际运用中终端模块与云端通信不走加密直接明文通信。

因为2G是单向鉴权,所以导致2G网络中的设备很容易被劫持,下面这幅图演示的就是通过OpenBTS+USRP实现一个小型的2G基站,并劫持了一款智能水表,劫持之后所有的设备流量都会经过我这台电脑,而不是运营商的基站。
3

2G GSM的可玩性强:
因为2G单向认证这一问题,可以很容易将GSM设备吸附到开源基站中;
介于数码产品有个向下兼容的特性,即使是3G、4G甚至是5G手机都会实现对2G GSM的兼容支持;
GSM可用于无需物理接触,远程触发的场景。
4

3G、4G、NBIoT以及5G因为是双向鉴权、需将SIM卡中的Key读取导入基站数据库,或者需替换自己写入key的SIM插入设备,需要物理接触
11

正如开头所说,开源基站在研究领域的用途不单单限于对IoT智能硬件流量的劫持这一方面。

2016年,Seeker曾在黑客大会 KCon 上演讲《伪基站高级利用技术——彻底攻破短信验证码》,这项技术和360独角兽安全团队曾揭秘的 LTE 伪基站技术原理相同。

“GSM 中间人攻击的历史更悠久,我既不是第一个发现的人,也不是第一个实现这种攻击方法的人。我不过是捅破窗户纸的那一个。”

PDF:https://github.com/knownsec/KCon/blob/master/2016/%5BKCon%202016%5D0828_3Seeker%E4%BC%AA%E5%9F%BA%E7%AB%99%E9%AB%98%E7%BA%A7%E5%88%A9%E7%94%A8%E6%8A%80%E6%9C%AF.pdf

雷锋网采访:https://www.leiphone.com/news/201611/bn5e0FKxetR7Gddd.html
5

2018年MOSEC安全会议上,@amatcama 分享了他在基带领域的一些研究,基带漏洞最大的威胁是可以通过OTA(空中接口)利用,即通过发射加载漏洞利用代码的无线电波,从空中接口利用漏洞,在受害者无任何感知的情况下,远距离对受害者进行攻击。通过软件无线电跟开源基站,在空口实现远程攻击基带,在 Android手机中执行命令、在RFS写入文件。另外,目前市面上存在很多基于 Android操作系统的智能智能网联车,开源基站也同样适用于网联车的破解:

在国内,这方面研究比较深入、漏洞挖掘用得比较多的,像百度的小灰灰:Xcon劫持破解共享单车、对自动售货机的破解这方面都有应用到开源基站的技术。

智能水表、智能电表、车载多媒体.... 等设备均可通过这种方式实现漏洞挖掘、硬件破解。

新的攻击点还包括:

协议Fuzz、参数Fuzz、DDOS、重定向、SMS fuzz、命令执行。
6

7
通过SDR软件无线电实现可以实现对基站通信进行安全研究,国外有很多开源的基站系统,都能实现通过SDR+开源系统的方案搭建自己的2G、3G、4G甚至5G基站。

2G:OpenBTS,YateBTS,普遍配合USRP和BladeRF两块SDR开发板;

3G:OpenBTS的UMTS 3G分支以及OSmocom的3G 项目

8

4G方面用得比较多的则有SRSLTE、OAI等等(OAI也有5G的分支)。

另外,SRS在今年五月初的升级版本里面添加了LTE TDD的支持,增加了在这方面的可玩性:
9

10

基站在运行之后,会有一块用于数据流量的虚拟网卡,该网卡类似于流量网关,与基站通信的所有UE设备的流量都会经过该网卡,通过wireshare捕获网卡的流量可实现基于流量业务的漏洞挖掘:探测IoT设备的云服务器域名、IP等资产信息

RFSec-ToolKit https://github.com/cn0xroot/RFSec-ToolKit

Nico Golde ,Breaking Band–reverse engineering and exploiting the shannon baseband https://comsecuris.com/slides/recon2016-breaking_band.pdf

DEF CON 26 - Zeng and Panel - Lora Smart Water Meter Security Analysis

黑客炼金术士 Seeker:可以攻破 4G 摸到你短信,还要为朝阳群众提供谍战工具

https://www.leiphone.com/news/201611/bn5e0FKxetR7Gddd.html


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 5
支持
分享
打赏 + 2.00雪花
打赏次数 1 雪花 + 2.00
 
赞赏  yjmwxwx   +2.00 2021/02/21
最新回复 (3)
雪    币: 1293
活跃值: (114)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
2
雪碧大佬
2020-10-3 07:00
0
雪    币: 14539
活跃值: (17553)
能力值: ( LV12,RANK:290 )
在线值:
发帖
回帖
粉丝
3
mark,感谢分享
2020-10-4 09:44
0
雪    币: 5484
活跃值: (3297)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
4
mark
2020-10-5 00:08
0
游客
登录 | 注册 方可回帖
返回
//