一组大学研究人员设计了一种名为“Freaky Leaky SMS”的新侧信道攻击,它依赖于 SMS 发送报告的时间来推断收件人的位置。
SMS 传递报告由移动网络的 SMSC(短消息服务中心)处理,以通知消息何时已传递、接受、失败、无法传递、已过期或已被拒绝。
虽然在此过程中存在路由、网络节点传播和处理延迟,但移动网络的固定性质和特定物理特性导致遵循标准信号路径时的时间可预测。
研究人员开发了一种机器学习算法,该算法分析这些 SMS 响应中的时间数据,以查找收件人的位置,不同国家/地区的准确率高达 96%,同一国家/地区的两个地点的准确率高达 86%。
攻击者首先必须收集一些测量数据,以便在 SMS 传递报告和目标的已知位置之间建立具体的关联。
短信传输图
攻击者掌握的目标行踪数据越精确,攻击阶段 ML 模型预测中的位置分类结果就越准确。
要收集数据,攻击者必须向目标发送多条 SMS,要么将它们伪装成营销信息,让收件人忽略或将其视为垃圾邮件,要么使用静默 SMS 消息。
静默短信是没有内容的“类型 0”消息,它不会在目标屏幕上产生任何通知,但它的接收仍然会被 SMSC 上的设备确认。
在他们的实验中,该论文的作者使用 ADB 在三天内每小时向美国、阿拉伯联合酋长国和七个欧洲国家的多个测试设备发送 20 条无声短信,涵盖十个运营商和各种通信技术和世代.
接下来,他们测量了每种情况下的 SMS 传递报告时间,并将数据与匹配的位置签名进行聚合,以生成全面的 ML 评估数据集。
ML模型一共使用了60个节点(10个输入,10个输出,40个隐藏),训练数据还包括接收位置、连接情况、网络类型、接收距离等。
攻击步骤图
定位收件人
该实验侧重于“封闭世界”攻击场景,即目标位置在预定位置之一上的分类。
学者们发现,他们的模型在识别国内和海外地点方面取得了很高的准确性 (96%),在国家分类方面也取得了类似的好猜测 (92%),并且在同一区域内的地点方面表现相当不错 (62%-75%)。
准确性取决于位置、操作员和条件。例如,在德国,该系统在 57 个不同分类中的平均准确率为 68%,在德国特定地区的最佳性能为 92%。
比利时的成绩最好,平均猜对率为 86%,在表现最好的地区最高为 95%。
实验结果
当考虑德国的三个地点时,该模型的预测准确率平均下降到 54%,在表现最好的情况下最高达到 83%,仍然明显高于随机猜测的 33%。
对于希腊,该模型为三个位置(随机 33%)提供了 79% 的显着平均正确位置预测,并且在最佳情况下达到了 82%。
研究人员留下了“开放世界”案例,在这些案例中,目标访问未知地点以供未来工作。然而,该论文仍然提供了一个简短的评估来解释预测模型如何适应这些场景。
简而言之,基于概率输出的使用、异常检测以及在 ML 训练数据集中包括地标和其他感兴趣的位置,开放世界攻击是可行的。然而,攻击的规模呈指数增长,范围超出了本文。
尽管该攻击涉及繁琐的准备工作,实施起来并非易事,并非在所有情况下都能很好地发挥作用,并且有一些实际限制,但它仍然对用户构成潜在的隐私风险。
签署该论文的研究人员之一告诉我们,对于这个实验,他们认为自己是基线攻击者,这意味着他们在资源、机器学习知识和技术能力方面受到限制。
这意味着,掌握更多资源的老练攻击者理论上可以在“开放世界”攻击场景中取得更大的影响,甚至取得一定的成功。
同样值得注意的是,同一组研究人员去年开发了类似的定时攻击,并证明可以使用消息接收报告大致定位 Signal、Threema 和 WhatsApp 等流行即时通讯工具的用户。
Freaky Leaky SMS:通过分析 SMS 时间提取用户位置
自从在 2G 蜂窝网络中引入以来,短消息服务 (SMS) 仍然是最流行的通信渠道之一。在本文中,我们证明仅定期接收静默 SMS 消息会打开一个隐蔽的侧通道,允许其他常规网络用户推断 SMS 接收者的下落。核心思想是接收 SMS 不可避免地会生成发送报告,其接收会在发送者处赋予定时攻击向量。
我们在不同的国家、运营商和设备上进行了实验,以表明攻击者可以通过分析来自典型接收方位置的时间测量来推断 SMS 接收方的位置。我们的结果表明,在训练 ML 模型后,SMS 发送者可以准确地确定接收者的多个位置。
例如,我们的模型在不同国家/地区的位置准确率高达 96%,在比利时境内的两个位置准确率高达 86%。由于蜂窝网络的设计方式,很难阻止发送报告返回给发起者,这使得在不对网络架构进行根本性改变的情况下阻止这种隐蔽攻击具有挑战性。
全文地址:
https://arxiv.org/pdf/2306.07695.pdf
原文始发于微信公众号(网络研究院):新侧信道攻击:SMS 发送报告可用于推断收件人的位置