4G、5G技術漏洞可讓駭客追蹤用戶地點、癱瘓手機、攔截通話內容

研究人員近日發現一項同時存在於4G與5G網路協定的漏洞，能讓駭客得以追蹤用戶所在位置、發送假警報訊息、發動阻斷服務攻擊癱瘓手機、甚至攔截通話內容。

美國普度大學與愛荷華大學的研究人員在MWC大會發表這項研究。這項漏洞出在行動網路呼叫（cellular paging）的協定中。這項協定原是為了兼顧保存手機電力及確保通話品質而設計。手機在閒置、低電力狀態中只會定期詢問（poll）網路服務。

手機詢問網路服務的期間（又稱為「呼叫時機」paging occasion）是固定的，這項特性可被駭客利用來針對鄰近的受害者發動攻擊，利用呼叫時機查出用戶的所在地點，關鍵是利用名為ToRPEDO（全名：TRacking via Paging mEssage DistributiOn）的攻擊手法。

研究人員解釋，當有電話、訊息傳到閒置的手機前，行動電信網路會透過當地基地台要求手機廣播臨時行動用戶辨識碼（TMSI）。TMSI是用於隱藏手機的國際行動用戶辨識碼（IMSI）遭竊聽。研究人員發現，在ToRPEDO手法下，攻擊者在短期間內接連撥打多次電話給手機又迅速掛掉，就能啟動基地台發出呼叫（paging），但又不會通知手機有來電。藉由sniffer蒐集這些呼叫訊息，只要10通電話以下就能大致判斷出受害者所在的大致地點。

一旦ToRPEDO取得受害者的呼叫時機後，攻擊者就能綁架後者的呼叫頻道（paging channel）。這就能讓攻擊者注入假造、空白的呼叫訊息引發阻斷服務攻擊，讓受害手機再也無法收發訊息，或是注入改造的緊報訊息（如通報失蹤人口的Ambert 警報）。研究人員另外還發現，如果受害者設定推特app啟動推播通知，則攻擊者可以依此推算出推特帳號所綁的手機門號及手機。

ToRPEDO成功後即為駭客開啟後續攻擊的大門。首先利用ToRPEDO蒐集到受害者手機IMSI 7位元資訊及電話號碼，駭客運用IMSI-Cracking手法，以暴力破解獲取4G及5G網路上手機的IMSI。另外，駭客也可以發動Piercer攻擊，利用sniffer及假基地台，在受害者鄰近地區取得4G該門號的手機IMSI。

這項漏洞引發的攻擊，可能讓駭客或政府得以獲知使用者所在位置，並紀錄特定範圍的所有來電。配合進階裝置，還能攔截電話或文字訊息。

研究人員Syed Rafiul Hussain指出，ToRPEDO只要攻擊者和受害者在同一行動蜂巢內並使用一台網路監聽裝置（sniffer）即可，市價200美元就能搞定。而PIERCER攻擊設備也只要400美元。

研究發現，ToRPEDO影響美國4 家主要電信業者AT&T、Verizon、Sprint和T-Mobile。PIERCER也影響其中一家。事實上，研究人員認為，由於這項漏洞涉及4G、5G網路，因此歐、亞國家的電信業者恐怕也無法倖免。

研究人員並不打算公佈概念驗證攻擊程式碼。