今天又是“G.O.S.S.I.P和朋友们”系列!我们为大家带来的是在G.O.S.S.I.P踢过球学习过,目前就读于俄亥俄州立大学的SecLab@OSU成员温昊煌(这个家伙又来了,这是他个人第五篇四大安全会议一作论文!)的NDSS 2023研究论文 Thwarting Smartphone SMS Attacks at the Radio Interface Layer
首先介绍一下研究背景:短消息服务(SMS)自1991年部署在欧洲GSM网络以来,一直广泛应用于各式各样的移动系统(如手机)中。SMS常见的应用包括文字消息传输、双因素认证(two-factor authentication)等等。但鲜为人知的是,SMS不仅仅是用于文字消息传输的服务,它同时也被应用到其他场景中。例如,SMS可以被静默传输(silent SMS)来对手机用户进行追踪(如某国以此来对罪犯手机进行三角定位)。SMS消息本身也可以传输二进制命令(binary SMS)。移动网络运营商也可以在SIM卡里内置程序逻辑来命令用户手机悄悄往其服务器或其他地址发送SMS(我们称之为proactive SIM SMS)。这些短信行为对用户而言是完全透明的(也就是说用户无法在常规SMS应用里看到它们)。
其实,一条SMS的格式比我们想象的要复杂一些,图1列举了一个SMS在PDU格式下的结构,包括一些重要的字段如PID(protocol identifier),DCS(data coding scheme),UD(user data)等等。
图1: SMS的PDU格式
从攻击者的角度来说,上述的多种SMS可以被利用,包括DoS攻击,欺诈,命令注入等等。此类型攻击的成本十分低廉。对于部分远程SMS攻击来说,攻击者仅需一张预付费的SIM以及一个可以用来编辑PDU格式SMS的USB modem(共计可以花费不超过$20)。
表1列举了六种常见的SMS攻击的类型。一种比较有意思且有严重安全影响的攻击是SimJacker(https://simjacker.com/ )。 具体来说,它通过往接收方发送binary SMS来迫使其SIM卡中的漏洞命令手机执行攻击者设定好的payload,例如强制执行AT命令、打开浏览器、或者获取用户的GPS地址并通过短信方式回传给攻击者。(不过目前这种攻击对于国内流行的SIM卡基本没有影响)类似地,silent SMS也可以用于DoS攻击(因为用户完全不会发觉其存在)。供应链上的攻击者可以通过销售注入了恶意逻辑的SIM来让手机窃取用户隐私然后进行回传。然而,这种攻击不仅对于用户而言完全透明,而且目前的移动设备的操作系统对于这种攻击缺乏相应的防御手段(包括检测和阻止它们)。
表1: 六种常见的SMS攻击类型
我们设计并实现了一个基于Android无线接口层(Radio Interface Layer,或RIL)的防御框架RILDefender
。相比于部署在应用层或者基带层的防御,RILDefender
的优势在于:(1)集检测与防御服务于一体。意味着它既可以检测出所有类型的短信攻击,并且能有效地实时屏蔽它们以防止用户的安全与隐私受到影响。(2)泛用性。Android RIL的架构是标准化的,意味着同一份RILDefender
代码实现可以被复用到不同厂商的固件当中而基本不需要进行适配。(3)延展性。RILDefender
支持动态扩展SMS检测逻辑,通过一个用户层的app进行配置、编辑、以及接收实时警告等操作,而不需要重新刷入系统固件。图2展示了RILDefender
的基本架构,具体的设计和实现请阅读我们的论文。
图2:
RILDefender
架构
我们基于Android Open Source Project(AOSP)实现了5个不同Android版本的RILDefender
(包括当时最新的Android 13),并在三台不同的Android手机上进行了测试。
表2:
RILDefender
的不同AOSP实现
我们在实验室中基于一个BladeRF SDR以及Yate BTS来构建了一个SMS实验环境并复现了表1中的SMS攻击,如下图所示。
图3: 实验环境配置
在其中一个比较有意思的实验中,我们在三台手机、五个Android版本上对RILDefender
进行七天的实验,以验证其能否正确识别不同的SMS以及影响正常的短信行为。图4的结果表明,RILDefener正确检测到不同类型的短信(也表明了它们确实在现实中比较普遍,只不过对于用户来讲是完全透明的而已)。其中包括SIM自主生成的SMS以及silent SMS,binary SMS,尽管这些SMS不一定是恶意的(我们怀疑它们跟网络供应商的某些特殊的应用有关)。目前来说,RILDefender
不会进一步区分良性以及恶性的SMS,这也是我们未来提升RILDefender
的方向之一。
图4:
RILDefender
在七天的实验中检测到的SMS
RILDefender
由SecLab@OSU与CSL@SRI International合作完成。部分代码实现已经在Github上开源:
https://github.com/OSUSecLab/
RILDefender
今天的推荐最后要再给小温打个广告:
作者简介:温昊煌,俄亥俄州立大学博士生,SecLab@OSU成员,主要研究兴趣为移动平台、物联网、汽车、以及移动网络(5G)安全。相关研究成果已发表在USENIX Security, CCS, NDSS, PETS, RAID等知名国际安全与隐私学术会议上。个人主页:https://web.cse.ohio-state.edu/~wen.423/
若想要了解更多详细内容(关于我们的5G安全研究和RILDefender
),请访问我们的网站: https://5gsec.com/5G_Security/Our_Mission.html
论文:http://web.cse.ohio-state.edu/~wen.423/papers/RIL_Defender_NDSS23.pdf
原文始发于微信公众号(安全研究GoSSIP):G.O.S.S.I.P