G.O.S.S.I.P

移动安全 1年前 (2023) admin

521 0 0

今天又是“G.O.S.S.I.P和朋友们”系列！我们为大家带来的是在G.O.S.S.I.P踢过球学习过，目前就读于俄亥俄州立大学的SecLab@OSU成员温昊煌（这个家伙又来了，这是他个人第五篇四大安全会议一作论文！）的NDSS 2023研究论文 Thwarting Smartphone SMS Attacks at the Radio Interface Layer

G.O.S.S.I.P

首先介绍一下研究背景：短消息服务（SMS）自1991年部署在欧洲GSM网络以来，一直广泛应用于各式各样的移动系统（如手机）中。SMS常见的应用包括文字消息传输、双因素认证（two-factor authentication）等等。但鲜为人知的是，SMS不仅仅是用于文字消息传输的服务，它同时也被应用到其他场景中。例如，SMS可以被静默传输（silent SMS）来对手机用户进行追踪（如某国以此来对罪犯手机进行三角定位）。SMS消息本身也可以传输二进制命令（binary SMS）。移动网络运营商也可以在SIM卡里内置程序逻辑来命令用户手机悄悄往其服务器或其他地址发送SMS（我们称之为proactive SIM SMS）。这些短信行为对用户而言是完全透明的（也就是说用户无法在常规SMS应用里看到它们）。

其实，一条SMS的格式比我们想象的要复杂一些，图1列举了一个SMS在PDU格式下的结构，包括一些重要的字段如PID（protocol identifier），DCS（data coding scheme），UD（user data）等等。

图1: SMS的PDU格式

从攻击者的角度来说，上述的多种SMS可以被利用，包括DoS攻击，欺诈，命令注入等等。此类型攻击的成本十分低廉。对于部分远程SMS攻击来说，攻击者仅需一张预付费的SIM以及一个可以用来编辑PDU格式SMS的USB modem（共计可以花费不超过$20）。

表1列举了六种常见的SMS攻击的类型。一种比较有意思且有严重安全影响的攻击是SimJacker（https://simjacker.com/ ）。具体来说，它通过往接收方发送binary SMS来迫使其SIM卡中的漏洞命令手机执行攻击者设定好的payload，例如强制执行AT命令、打开浏览器、或者获取用户的GPS地址并通过短信方式回传给攻击者。（不过目前这种攻击对于国内流行的SIM卡基本没有影响）类似地，silent SMS也可以用于DoS攻击（因为用户完全不会发觉其存在）。供应链上的攻击者可以通过销售注入了恶意逻辑的SIM来让手机窃取用户隐私然后进行回传。然而，这种攻击不仅对于用户而言完全透明，而且目前的移动设备的操作系统对于这种攻击缺乏相应的防御手段（包括检测和阻止它们）。

表1: 六种常见的SMS攻击类型

我们设计并实现了一个基于Android无线接口层（Radio Interface Layer，或RIL）的防御框架RILDefender。相比于部署在应用层或者基带层的防御，RILDefender的优势在于：（1）集检测与防御服务于一体。意味着它既可以检测出所有类型的短信攻击，并且能有效地实时屏蔽它们以防止用户的安全与隐私受到影响。（2）泛用性。Android RIL的架构是标准化的，意味着同一份RILDefender代码实现可以被复用到不同厂商的固件当中而基本不需要进行适配。（3）延展性。RILDefender支持动态扩展SMS检测逻辑，通过一个用户层的app进行配置、编辑、以及接收实时警告等操作，而不需要重新刷入系统固件。图2展示了RILDefender的基本架构，具体的设计和实现请阅读我们的论文。

图2: RILDefender架构

我们基于Android Open Source Project（AOSP）实现了5个不同Android版本的RILDefender（包括当时最新的Android 13），并在三台不同的Android手机上进行了测试。

表2: RILDefender的不同AOSP实现

我们在实验室中基于一个BladeRF SDR以及Yate BTS来构建了一个SMS实验环境并复现了表1中的SMS攻击，如下图所示。

图3: 实验环境配置

在其中一个比较有意思的实验中，我们在三台手机、五个Android版本上对RILDefender进行七天的实验，以验证其能否正确识别不同的SMS以及影响正常的短信行为。图4的结果表明，RILDefener正确检测到不同类型的短信（也表明了它们确实在现实中比较普遍，只不过对于用户来讲是完全透明的而已）。其中包括SIM自主生成的SMS以及silent SMS，binary SMS，尽管这些SMS不一定是恶意的（我们怀疑它们跟网络供应商的某些特殊的应用有关）。目前来说，RILDefender不会进一步区分良性以及恶性的SMS，这也是我们未来提升RILDefender的方向之一。

图4: RILDefender在七天的实验中检测到的SMS

RILDefender由SecLab@OSU与CSL@SRI International合作完成。部分代码实现已经在Github上开源：

https://github.com/OSUSecLab/RILDefender

今天的推荐最后要再给小温打个广告：

作者简介：温昊煌，俄亥俄州立大学博士生，SecLab@OSU成员，主要研究兴趣为移动平台、物联网、汽车、以及移动网络（5G）安全。相关研究成果已发表在USENIX Security, CCS, NDSS, PETS, RAID等知名国际安全与隐私学术会议上。个人主页：https://web.cse.ohio-state.edu/~wen.423/
若想要了解更多详细内容（关于我们的5G安全研究和RILDefender），请访问我们的网站: https://5gsec.com/5G_Security/Our_Mission.html