很长一段时间以来,执法机构和黑客们都能够通过建立假的蜂窝网络塔来追踪移动用户的身份和位置,并欺骗他们的设备连接到他们。研究人员现在发现,使用一个简单的Wi-Fi热点可以更便宜地完成同样的任务。
这些冒充手机发射塔的设备在业界被称为IMSI捕手,IMSI(国际移动用户身份)是一个与移动用户绑定的唯一号码,存储在SIM卡上。IMSI捕手可以用来跟踪,在某些情况下还可以用来拦截电话,但商业解决方案,如FBI使用的“黄貂鱼”(Stingray),价格昂贵。
牛津大学计算机科学系的研究人员皮尔斯·奥汉隆和拉维尚卡尔·博冈卡发现,Wi-Fi网络也可以被用来欺骗移动设备,让它们暴露IMSI号码。
这是由于自动Wi-Fi连接和Wi-Fi呼叫等移动数据卸载技术的协议和配置缺陷,移动运营商越来越多地采用这些技术来降低成本和减少蜂窝网络的拥塞。
运行iOS、Android、Windows mobile和黑莓的移动设备都支持这些技术,在某些情况下,自动Wi-Fi连接的配置文件甚至内置在操作系统中。例如,研究人员发现,苹果的iOS系统有50多个来自移动运营商的硬编码的自动Wi-Fi配置文件,只要插入其中一个运营商的SIM卡,这些文件就会自动启用。
Wi-Fi自动连接使用可扩展局域网认证协议(EAPOL),认证方法使用永久性IMSI号码和临时身份。IMSI通常用于初始连接和重新身份验证的临时身份。
然而,目前大多数Wi-Fi自动连接实现都默认配置为“自由”对等模式,在这种模式下,它们总是会响应对其永久身份(IMSI)的请求。这意味着攻击者可以设置非法接入点——ssid与设备将自动连接到的接入点相匹配——然后简单地请求他们的IMSI进行认证。
奥汉伦周四在伦敦的黑帽欧洲安全会议上说,例如,有人可以设置一个设备,为所有硬编码到iOS的Auto Wi-Fi配置文件创建欺骗接入点,然后获取附近所有iphone的IMSI号码。
Android在自动连接此类网络之前,需要对自动Wi-Fi进行初始手动配置,但从版本6(棉花糖)开始,它还为运营商加载的特权应用程序提供了一种机制,以提供运营商特定的配置。
研究人员已经通知了操作系统制造商、移动运营商和贸易组织GSMA他们的发现,苹果已经在iOS 10中添加了“保守的”同行对自动Wi-Fi认证的支持。
在保守的对等模式,设备只会对永久身份请求作出回应时没有可用笔名的身份,所以在用户连接到经营者的合法的wi - fi网络和验证使用IMSI、没有欺骗接入点之后能够迫使设备公开它。
研究人员说,操作系统制造商和运营商已经承认了这个问题,但没有简单的方法来解决它。有一些可扩展认证协议(EAP)认证方法在传输层安全上工作,并且是加密的,但是它们需要在移动操作系统和运营商系统中得到支持。他们说,部署基于证书的基础设施需要投资,而且更难维护。
Wi-Fi通话也存在类似问题。该技术允许用户使用加密的IPsec协议连接运营商的边缘分组数据网关(EPDG),通过Wi-Fi进行语音通话。这与WhatsApp或Skype等IP语音应用不同。
iOS和Android设备支持Wi-Fi呼叫,使用IKEv2 (Internet Key Exchange Protocol)认证。与Wi-Fi自动连接一样,IKEv2认证也基于IMSI号等身份,通过EAP-AKA进行交换。
研究人员说,EAP-AKA交易所是加密的,但没有证书保护,这意味着它们暴露在中间人攻击中,可能会恢复IMSI号码。
好消息是,用户可以在设备上禁用Wi-Fi呼叫,而自动Wi-Fi只能在该网络处于范围内时禁用。
IMSI号码泄露是一个隐私问题,因为在互联网上有可以将其与手机号码进行匹配的服务,而且找到手机号码所有者的身份并不困难。
一般来说,IMSI号码可以用来跟踪和识别谁曾在特定时间出现在特定地点。例如,在一个言论自由不受尊重的国家,当局可以利用它们来识别未经授权的抗议活动的参与者。