當情報機構試圖追蹤特定區域的某人時,他們經常使用所謂的「IMSI 捕獲器」。它是一種相當昂貴的設備,用於模擬營運商的基地台,並依賴行動通訊協定(尤其是 2G 技術的協定)中的漏洞。它允許您透過捕獲“IMSI”(運營商提供的唯一 15 位元識別碼)來檢查設備連接區域中是否有人。
值此大會召開之際2016 年歐洲黑帽大會於 11 月 3 日至 4 日在倫敦舉行,來自牛津大學的兩位研究人員——Piers O'Hanlon 和 Ravishankar Borgaonkar——剛剛證明,借助 Wi-Fi,可以用更簡單的方式完成同樣的事情。 - 電信業者的Fi 存取。事實上,後者可以自動將訂戶連接到 Wi-Fi 熱點,而無需提供識別碼。該技術基於 EAP-SIM 或 EAP-AKA 身份驗證協定。它被世界各地大量運營商使用。例如,在法國,該功能由 Free 和 SFR 提供,使用各自盒子產生的熱點。
在 iPhone 上,這些自動連線無需任何使用者乾預即可完成,因為 Apple 的行動系統會立即將大多數營運商的無線網路識別碼 (SSID) 嵌入到特定檔案 (.mobileconfig) 中。例如,在 iOS 9 上,研究人員發現了超過 50 個操作符。在 Android 上,情況有所不同。在某些終端上,一切都已提前配置。在其他情況下,使用者必須先執行手動初始化,然後才能受益於此自動連線。
問題在於所使用的身份驗證協定未加密。因此,攻擊者可以被動捕獲在此過程中在給定區域中交換的 IMSI。而且不需要特殊設備:一台有Wi-Fi卡的電腦就夠了,“甚至是 RaspberryPi””,皮爾斯·奧漢隆強調。此外,後者還補充說,這並不是「將 ISMI 識別碼連結到訂戶號碼並不困難。有線上服務可以讓您做到這一點”。例如,網站 hlr-lookups.com 允許您幾乎立即檢索世界上任何電話號碼的 IMSI。只需建立一個線上帳戶。最終,惡意者可以為自己配備一個相當有效的監控工具……而且價格不是很昂貴。
Wi-Fi 通話沒有證書
兩位研究人員確定了第二種捕捉個人 IMSI 的方法,即使用「Wi-Fi 通話」。這項功能遠不如前一項廣泛普及,而且在法國運營商中仍處於實驗階段,它允許您在不使用 Skype 或 FaceTime 等第三方應用程式的情況下撥打 Wi-Fi 電話。“這對於白色區域或細胞過載時很有用”,指定皮爾斯·奧漢隆。在這種情況下,智慧型手機可以使用任何 Wi-Fi 熱點。
當使用者想要撥打電話時,終端機會建立一條通往運營商網關(邊緣資料包資料閘道)的 IPSec 隧道,該網關將路由通訊。但首先,還有一個基於 IMSI 交換的身份驗證過程。此交換是基於 Internet 金鑰交換 (IKE) 協定並且是加密的。「不幸的是,它不受憑證保護。因此我們可以進行中間人類型的攔截攻擊”,指定研究人員。
研究人員在演示結束時展示了他們的攻擊。每次,我們都清楚地看到顯示的著名的 15 位代碼。
這些漏洞不容易解決,因為它們與行動電信標準(3GPP)密切相關。研究人員聯繫了營運商,目前營運商並不知道該怎麼做才能解決這個問題。在製造商方面,唯一做出反應的是蘋果,在自動連接營運商 WiFi 部分進行了小幅改進。現在,在 iOS 10 中,只有在找不到「偽 IMSI」時才會交換 IMSI,「偽 IMSI」是運營商可用於保護 IMSI 的替代的、有時間限制的識別碼。
在使用者方面,保護自己的最根本方法是停用 Wi-Fi,根據終端的不同,也可以停用與電信商 Wi-Fi 和/或 Wi-Fi 通話的自動連線。
