当情报机构试图追踪特定区域的某人时,他们经常使用所谓的“IMSI 捕获器”。它是一种相当昂贵的设备,用于模拟运营商的基站,并依赖于移动通信协议(尤其是 2G 技术的协议)中的漏洞。它允许您通过捕获“IMSI”(运营商提供的唯一 15 位标识符)来检查设备连接区域中是否有人。
值此大会召开之际2016 年欧洲黑帽大会于 11 月 3 日至 4 日在伦敦举行,来自牛津大学的两位研究人员——Piers O'Hanlon 和 Ravishankar Borgaonkar——刚刚证明,借助 Wi-Fi,可以用更简单的方式完成同样的事情。 - 运营商的 Fi 接入。事实上,后者可以自动将订户连接到 Wi-Fi 热点,而无需提供标识符。该技术基于 EAP-SIM 或 EAP-AKA 身份验证协议。它被世界各地大量运营商使用。例如,在法国,该功能由 Free 和 SFR 提供,使用各自盒子生成的热点。

在 iPhone 上,这些自动连接无需任何用户干预即可完成,因为 Apple 的移动系统会立即将大多数运营商的无线网络标识符 (SSID) 嵌入到特定文件 (.mobileconfig) 中。例如,在 iOS 9 上,研究人员发现了超过 50 个操作符。在 Android 上,情况有所不同。在某些终端上,一切都已提前配置。在其他情况下,用户必须先执行手动初始化,然后才能受益于此自动连接。
问题在于所使用的身份验证协议未加密。因此,攻击者可以被动捕获在此过程中在给定区域中交换的 IMSI。而且不需要特殊设备:一台带Wi-Fi卡的电脑就足够了,“甚至是 RaspberryPi””,皮尔斯·奥汉隆强调道。此外,后者还补充说,这并不是“将 ISMI 标识符链接到订户号码并不困难。有在线服务可以让您做到这一点”。例如,网站 hlr-lookups.com 允许您几乎立即检索世界上任何电话号码的 IMSI。只需创建一个在线帐户。最终,恶意者可以为自己配备一个相当有效的监控工具……而且价格不是很昂贵。
Wi-Fi 通话没有证书
两位研究人员确定了第二种捕获个人 IMSI 的方法,即使用“Wi-Fi 通话”。这项功能远不如前一项广泛普及,而且在法国运营商中仍处于实验阶段,它允许您在不使用 Skype 或 FaceTime 等第三方应用程序的情况下拨打 Wi-Fi 电话。“这对于白色区域或细胞过载时很有用”,指定皮尔斯·奥汉隆。在这种情况下,智能手机可以使用任何 Wi-Fi 热点。
当用户想要拨打电话时,终端会创建一条通往运营商网关(边缘数据包数据网关)的 IPSec 隧道,该网关将路由通信。但首先,还有一个基于 IMSI 交换的身份验证过程。此交换基于 Internet 密钥交换 (IKE) 协议并且是加密的。“不幸的是,它不受证书保护。因此我们可以进行中间人类型的拦截攻击”,指定研究人员。
研究人员在演示结束时展示了他们的攻击。每次,我们都清楚地看到显示的著名的 15 位代码。


这些漏洞不容易解决,因为它们与移动电信标准(3GPP)密切相关。研究人员联系了运营商,目前运营商并不知道该怎么做才能解决这个问题。在制造商方面,唯一做出反应的是苹果,在自动连接运营商 WiFi 部分进行了小幅改进。现在,在 iOS 10 中,仅当找不到“伪 IMSI”时才会交换 IMSI,“伪 IMSI”是运营商可用于保护 IMSI 的替代的、有时间限制的标识符。
在用户方面,保护自己的最根本方法是停用 Wi-Fi,根据终端的不同,还可以停用与运营商 Wi-Fi 和/或 Wi-Fi 呼叫的自动连接。