之前我們已經(jīng)多次報(bào)道過SS7信號協(xié)議的漏洞了，利用協(xié)議的漏洞，攻擊者可以追蹤用戶。

當(dāng)用戶在各個國家旅游時，他們的手機(jī)會連接到當(dāng)?shù)剡\(yùn)營商，然后再與用戶本國的運(yùn)營商聯(lián)系。SS7協(xié)議能夠用來漫游，但是這個協(xié)議存在漏洞，黑客可以利用漏洞來：

• 跟蹤位置
• 監(jiān)聽
• 詐騙
• 對用戶或網(wǎng)絡(luò)發(fā)動DoS攻擊
• 竊取密碼
• 數(shù)據(jù)劫持
• 短信攔截
• ??通過竊取一次性密碼劫持Telegram、facebook、whatsapp的賬號??

Diameter同樣能被攻擊

Diameter被認(rèn)為是LTE網(wǎng)絡(luò)SS7協(xié)議的完善版本，理應(yīng)更加安全，但專家們在這款協(xié)議中同樣發(fā)現(xiàn)了安全問題，其中一個就是沒有使用IPsec協(xié)議。

研究人員表示，這就意味著Diameter能夠被用同樣的手段攻擊。

專家團(tuán)隊(duì)進(jìn)行了數(shù)次測試評估攻擊，測試中，他們對在芬蘭的英國用戶進(jìn)行了網(wǎng)絡(luò)攻擊，發(fā)現(xiàn)了多種干擾服務(wù)的方法。

攻擊者可以選擇暫時或永久地關(guān)閉用戶連接，也可以針對某一整個地區(qū)實(shí)施攻擊。

研究團(tuán)隊(duì)在倫敦舉行的黑帽大會上??演示??了成果。

攻擊過程

要對其他運(yùn)營商的系統(tǒng)或者用戶進(jìn)行攻擊，研究人員首先得要能夠訪問IPX。他們演示了幾種能夠訪問IPX的方法，比如政府可以強(qiáng)制本地的運(yùn)營商給予權(quán)限。

攻擊者可以偽裝成虛擬網(wǎng)絡(luò)運(yùn)營商，然后通過已有的運(yùn)營商獲得漫游網(wǎng)絡(luò)的權(quán)限。也可以黑掉運(yùn)營商的某個暴露在公網(wǎng)中的節(jié)點(diǎn)。我們來看看LTE網(wǎng)絡(luò)的組成：

??

LTE網(wǎng)絡(luò)中的節(jié)點(diǎn)被稱為MME(Mobility Management Entity，移動管理實(shí)體)，它主要負(fù)責(zé)會話管理、用戶驗(yàn)證、漫游以及將用戶移交給其他網(wǎng)絡(luò)。信號通過信號塔傳播，同時歸屬用戶服務(wù)器(HSS，Home Subscriber Server)負(fù)責(zé)存儲用戶的相關(guān)信息及其相關(guān)業(yè)務(wù)信息。LTE網(wǎng)絡(luò)中的其他重要組件包括DEA(DiameterEdge Agents)負(fù)責(zé)在攻擊中充當(dāng)進(jìn)入互聯(lián)網(wǎng)絡(luò)的網(wǎng)關(guān)。在實(shí)施攻擊的過程中，黑客需要有受害者的IMSI，獲取過程并不難：黑客可以偽裝成短信服務(wù)中心，試圖發(fā)送短信到受害者的手機(jī)號，從而獲得IMSI。因此，只要知道對方的移動臺ISDN號碼(MSISDN)，知道對方運(yùn)營商的DEA，就可以對其進(jìn)行攻擊了。

攻擊者首先通過DEA給HSS發(fā)送一個路由信息請求，而請求的回復(fù)中會包含用戶的IMSI和用戶連接的是哪個MME。

接著，攻擊者偽裝成某個合作伙伴的HSS，向受害者的MME發(fā)送一條“取消位置請求(CLR)”的信息，導(dǎo)致用戶斷線。

這個CLR信息原來是當(dāng)用戶從一個MME切換到另一個MME時發(fā)送的。

多種攻擊方式

研究人員還提出了另一種漏洞的利用方法，通過這種方法可以“放大”請求。研究人員注意到當(dāng)用戶重新接入網(wǎng)絡(luò)時，設(shè)備向MME發(fā)送20條不同的消息。

??

如果攻擊者強(qiáng)制讓大量用戶同時下線，當(dāng)他們重新上線時，MME就會涌入大量消息，導(dǎo)致MME被DoS攻擊，進(jìn)而造成MME所負(fù)責(zé)的一大塊區(qū)域停止服務(wù)。

另一個DoS攻擊場景是這樣的：攻擊者冒充HSS，向受害者的MME發(fā)送一條IDR(Insert Subscriber Data Request，插入用戶數(shù)據(jù)請求)信息，信息的內(nèi)容比較特別，是一個特殊的，表示無服務(wù)的值。這樣用戶就會永久被踢下網(wǎng)絡(luò)。如果用戶想要再次連接，唯一的辦法就是聯(lián)系移動運(yùn)營商了。