杭州都市網(wǎng)

9月11日，騰訊全球數(shù)字生態(tài)大會(huì)5G專(zhuān)場(chǎng)在云端舉辦。會(huì)上，騰訊安全科恩實(shí)驗(yàn)室專(zhuān)家研究員amp;5G專(zhuān)家Marco Grassi發(fā)表了以《5G時(shí)代，保護(hù)百億終端設(shè)備安全》為主題的演講。Marco Grassi在演講中重點(diǎn)強(qiáng)調(diào)了終端設(shè)備規(guī)模化應(yīng)用于5G網(wǎng)絡(luò)帶來(lái)的安全問(wèn)題，并公布了騰訊安全科恩實(shí)驗(yàn)室最新研發(fā)成果——物聯(lián)網(wǎng)安全檢測(cè)工具IoTSeC，他介紹表示，IoTSeC可自動(dòng)化分析掃描設(shè)備固件來(lái)發(fā)現(xiàn)安全漏洞。

相對(duì)于4G網(wǎng)絡(luò)，5G憑借高達(dá)100倍的數(shù)據(jù)傳輸速度，以及龐大的網(wǎng)絡(luò)容量，可為海量設(shè)備提供高度、低延時(shí)的服務(wù)。隨著技術(shù)應(yīng)用的不斷加快，5G給人們帶來(lái)的便利的同時(shí)，在各個(gè)應(yīng)用場(chǎng)景的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)也在日益凸顯。云端會(huì)議上，Marco Grassi在專(zhuān)場(chǎng)現(xiàn)場(chǎng)通過(guò)無(wú)線接口遠(yuǎn)程攻克了一臺(tái)5G手機(jī)，并在手機(jī)內(nèi)部實(shí)現(xiàn)任意代碼執(zhí)行。Marco Grassi表示，設(shè)備攻克之后，攻擊者可以進(jìn)行更多惡意操作，利用安全漏洞進(jìn)行攻擊。

面對(duì)海量設(shè)備數(shù)據(jù)的安全漏洞問(wèn)題，Marco Grassi公布了騰訊安全科恩實(shí)驗(yàn)室的最新研究成果——物聯(lián)網(wǎng)安全檢測(cè)工具IoTSeC，其可用于分析和掃描設(shè)備固件的安全漏洞，并輸出高可行性的檢測(cè)報(bào)告，便于用戶(hù)查找和定位設(shè)備安全漏洞，從而達(dá)到將漏洞修復(fù)或移除的目的。

以下為?Marco Grassi演講全文：

大家好，歡迎各位來(lái)參加我的講座。我是騰訊安全科恩實(shí)驗(yàn)室的專(zhuān)家安全研究員/5G專(zhuān)家Marco Grassi。今天我會(huì)與各位聊聊5G安全的話題，為什么5G安全是極其重要的?并向各位展示我們?cè)诳贫鲗?shí)驗(yàn)室里所做的最新的相關(guān)安全研究成果。

簡(jiǎn)單介紹一下我自己。我叫Marco，來(lái)自意大利。目前我在上海的騰訊科恩實(shí)驗(yàn)室工作。我的主要研究?jī)?nèi)容集中在移動(dòng)網(wǎng)絡(luò)、虛擬化以及固件分析領(lǐng)域。在這之前，我主要做過(guò)iOS/Android以及macOS相關(guān)的安全研究工作。我和我的朋友@qwertyoruiop曾今發(fā)布過(guò)yalu102，一個(gè)針對(duì)iOS 10.2的越獄。在科恩實(shí)驗(yàn)室期間，我?共參加并獲得四次Pwn2Own比賽的獎(jiǎng)項(xiàng)。另外，我還多次在Black Hat USA以及DEF CON上展示過(guò)我自己以及科恩實(shí)驗(yàn)室的研究成果。

這是我今天演講的大綱，首先我會(huì)對(duì)5G和5G安全做一個(gè)簡(jiǎn)短的背景介紹，并介紹為何當(dāng)下5G安全變得格外重要。然后我會(huì)介紹科恩實(shí)驗(yàn)室在5G領(lǐng)域與移動(dòng)網(wǎng)絡(luò)領(lǐng)域的相關(guān)工作，展示我們研發(fā)的物聯(lián)網(wǎng)安全檢測(cè)工具IoTSec系統(tǒng)以及其在安全領(lǐng)域所發(fā)揮的作用。最后我以我們?cè)?G安全領(lǐng)域的一個(gè)最新研究成果來(lái)結(jié)束今天的議題，我會(huì)展示如何在用戶(hù)無(wú)感知的情況下，遠(yuǎn)程攻擊并控制一臺(tái)5G手機(jī)。讓我們開(kāi)始。

因?yàn)榍懊娴难葜v已經(jīng)介紹過(guò)相關(guān)的概念，讓我在這里再簡(jiǎn)單地介紹一下5G。

5G是一個(gè)相對(duì)比較新的技術(shù)概念，我們可以認(rèn)為它是終端消費(fèi)者所能接觸到最新的通信技術(shù)變革。相比較于前代移動(dòng)網(wǎng)絡(luò)， 5G可以提供最高100倍的數(shù)據(jù)傳輸速度，從而滿(mǎn)足終端用戶(hù)的多媒體數(shù)據(jù)傳輸需求。5G另一個(gè)極為重要的特性是其龐大的網(wǎng)絡(luò)容量， 5G網(wǎng)絡(luò)可以接入海量的設(shè)備并為這些設(shè)備提供服務(wù)，這對(duì)于當(dāng)下廣泛部署的物聯(lián)網(wǎng)設(shè)備而言極其關(guān)鍵，因?yàn)槲锫?lián)網(wǎng)設(shè)備的數(shù)量將遠(yuǎn)超傳統(tǒng)移動(dòng)網(wǎng)絡(luò)可容納的上限。

5G網(wǎng)絡(luò)的容量相較于前代網(wǎng)絡(luò)也增加了約100倍。因此未來(lái)移動(dòng)網(wǎng)絡(luò)的圖景已經(jīng)非常清晰了，海量的終端設(shè)備和物聯(lián)網(wǎng)設(shè)備會(huì)首先連接到5G網(wǎng)絡(luò)，然后可能會(huì)進(jìn)一步連接到互聯(lián)網(wǎng)。這就引出我們今天的主旨，我們必須保證這些海量設(shè)備的安全性。需要注意的是，連入5G網(wǎng)絡(luò)的設(shè)備不僅僅會(huì)是我們熟悉的終端設(shè)備，如手機(jī)等，同時(shí)也會(huì)有汽車(chē)、機(jī)器人、傳感器或者是某些關(guān)鍵基礎(chǔ)設(shè)施。此時(shí)，安全漏洞影響不再僅僅局限在數(shù)據(jù)竊取等場(chǎng)景，而是可能導(dǎo)致物理上的?系列后果，因此保證5G網(wǎng)絡(luò)的安全變得尤為重要。

對(duì)于未來(lái)可能連入5G網(wǎng)絡(luò)的終端設(shè)備和物聯(lián)網(wǎng)設(shè)備的數(shù)量，業(yè)界有不同的估計(jì)。不同的估計(jì)數(shù)字有所差異，但是它們基本都同意未來(lái)使用5G網(wǎng)絡(luò)的終端設(shè)備將達(dá)到數(shù)十億的規(guī)模，而使用5G網(wǎng)絡(luò)的物聯(lián)網(wǎng)設(shè)備更將是終端設(shè)備的20倍。問(wèn)題的關(guān)鍵在于，為了使消費(fèi)者，包括我們的用戶(hù)可以享受到5G網(wǎng)絡(luò)技術(shù)帶來(lái)的便利，我們不僅要保證

5G網(wǎng)絡(luò)的功能完好，同時(shí)也必須保證其是安全的。連接到5G網(wǎng)絡(luò)的不僅是你的手機(jī)，同時(shí)還有你的汽車(chē)、冰箱、安全攝像頭以及其他大量你沒(méi)有意識(shí)到但實(shí)際存在并且一直服務(wù)于你的設(shè)備，比如交通信號(hào)燈、傳感器、公共交通設(shè)備等等。那么主要的問(wèn)題就是，面對(duì)如此海量的設(shè)備，傳統(tǒng)人工安全測(cè)試的方法就變得無(wú)法適應(yīng)這種規(guī)模的安全需求。

科恩實(shí)驗(yàn)室從2016年開(kāi)始就已經(jīng)開(kāi)展移動(dòng)網(wǎng)絡(luò)安全研究，我們的研究團(tuán)隊(duì)包含了國(guó)際領(lǐng)先的技術(shù)專(zhuān)家。在享譽(yù)安全界的Pwn2Own比賽中，我們?cè)谝苿?dòng)網(wǎng)絡(luò)子項(xiàng)中獲勝，向世界展示了我們?cè)谶@個(gè)領(lǐng)域的知識(shí)儲(chǔ)備與研究能力。我們也被邀請(qǐng)?jiān)诎˙lack Hat USA在內(nèi)的一系列的全球頂尖網(wǎng)絡(luò)安全會(huì)議上展示我們?cè)谝苿?dòng)網(wǎng)絡(luò)領(lǐng)域的研究成果，并收到了積極的評(píng)價(jià)。這表明科恩實(shí)驗(yàn)室在移動(dòng)網(wǎng)絡(luò)安全研究上有著強(qiáng)大的技術(shù)實(shí)力與資深的安全專(zhuān)家。但是就如我前面所說(shuō)的，光有技術(shù)實(shí)力是無(wú)法完全解決5G網(wǎng)絡(luò)安全問(wèn)題的，我們同時(shí)需要能在大規(guī)模范圍內(nèi)通過(guò)某種程度的自動(dòng)化來(lái)提升其可擴(kuò)展性。

總結(jié)來(lái)看，我們面對(duì)的難題是，如何在擁有數(shù)十億設(shè)備連接進(jìn)5G網(wǎng)絡(luò)的同時(shí)，盡可能的保證它們的安全。因?yàn)樵O(shè)備型號(hào)和版本的多樣性，人工的安全檢測(cè)是不切實(shí)際的。就像人工智能領(lǐng)域一樣，成功的關(guān)鍵通常是結(jié)合專(zhuān)家的知識(shí)技能，與自動(dòng)化的分析手段，從而得出超過(guò)我們的時(shí)間與能力局限的解決方案。為此，科恩實(shí)驗(yàn)室開(kāi)發(fā)了物聯(lián)網(wǎng)安全檢測(cè)工具IoTSec，在我們安全專(zhuān)家的設(shè)計(jì)下，其可以自動(dòng)化的分析掃描設(shè)備固件來(lái)發(fā)現(xiàn)安全漏洞。

這是物聯(lián)網(wǎng)安全檢測(cè)工具IoTSec分析結(jié)果的示例圖。物聯(lián)網(wǎng)安全檢測(cè)工具IoTSec包含了科恩自研的業(yè)界頂尖的快速安全分析組件，在用戶(hù)上傳需要分析的固件后，其會(huì)自動(dòng)化的提取固件的組件并開(kāi)始分析。物聯(lián)網(wǎng)安全檢測(cè)工具IoTSec最終會(huì)輸出一份具有高度可行性的檢測(cè)報(bào)告，用戶(hù)可以定位其在設(shè)備上找到的所有漏洞，此時(shí)，用戶(hù)可以將檢測(cè)結(jié)果提交給設(shè)備安全的責(zé)任方，從而完成漏洞修復(fù)或者將漏洞設(shè)備從網(wǎng)絡(luò)中移除。歡迎大家訪問(wèn)iotsec.tencent.com以免費(fèi)試用物聯(lián)網(wǎng)安全檢測(cè)工具IoTSec。

在展示科恩實(shí)驗(yàn)室最新的5G安全研究之前，我需要簡(jiǎn)單的介紹下通常情況下針對(duì)5G設(shè)備的遠(yuǎn)程攻擊是如何展開(kāi)的。我們會(huì)有兩個(gè)主要的組件。軟件部分和硬件部分。在軟件部分中，我們會(huì)模擬實(shí)現(xiàn)基站，基站即移動(dòng)網(wǎng)絡(luò)中負(fù)責(zé)網(wǎng)絡(luò)管理和無(wú)線信號(hào)交互的組件。而在硬件部分，我們通常需要一個(gè)可編程的無(wú)線信號(hào)組件，負(fù)責(zé)將軟件輸出轉(zhuǎn)換成5G的無(wú)線信號(hào)，從而實(shí)現(xiàn)與設(shè)備的交互。我們會(huì)在軟件部分實(shí)現(xiàn)我們對(duì)漏洞的利用。我們的利用向量會(huì)被調(diào)制成無(wú)線信號(hào)，并通過(guò)空中接口發(fā)送到設(shè)備，從而實(shí)現(xiàn)對(duì)設(shè)備的攻擊。這是攻擊過(guò)程的一個(gè)總覽。在設(shè)備被攻克之后，攻擊者可以竊取個(gè)人數(shù)據(jù)，或者監(jiān)聽(tīng)電話，甚至將設(shè)備改造成間諜工具，從而實(shí)現(xiàn)實(shí)時(shí)監(jiān)聽(tīng)。

科恩實(shí)驗(yàn)室是少數(shù)幾個(gè)公開(kāi)開(kāi)展5G安全研究的團(tuán)隊(duì)之一，今天我們希望能向各位演示我們最新的研究成果。我會(huì)演示如何通過(guò)無(wú)線接口遠(yuǎn)程攻克市面上新款的5G手機(jī)，通過(guò)給手機(jī)發(fā)送攻擊向量，我們可以在手機(jī)內(nèi)部實(shí)現(xiàn)任意代碼執(zhí)行。我們是全球范圍內(nèi)第一個(gè)公開(kāi)達(dá)成5G漏洞利用的團(tuán)隊(duì)。整個(gè)利用過(guò)程非常隱秘，從用戶(hù)的?度完全察覺(jué)不到攻擊的發(fā)生。在實(shí)現(xiàn)手機(jī)內(nèi)的任意代碼執(zhí)行之后，如我之前所說(shuō)的，攻擊者就有可能進(jìn)行更多惡意的操作，比如數(shù)據(jù)竊取、電話攔截或者是監(jiān)聽(tīng)設(shè)備的語(yǔ)音。讓我們來(lái)看這個(gè)演示。

如屏幕上所演示的，上面是我們用來(lái)構(gòu)建移動(dòng)網(wǎng)絡(luò)的SDR軟件定義無(wú)線電設(shè)備。下面是我們要攻擊的目標(biāo)5G手機(jī)。我們要演示的效果是，通過(guò)漏洞遠(yuǎn)程修改掉手機(jī)的IMEI。IMEI是國(guó)際移動(dòng)設(shè)備識(shí)別碼，是手機(jī)的唯一標(biāo)識(shí)，相當(dāng)于汽車(chē)的牌照。能夠修改IMEI意味著我們已經(jīng)可以在手機(jī)上實(shí)現(xiàn)任意代碼執(zhí)行。可以看到手機(jī)原來(lái)的IMEI是05395結(jié)尾的，我們會(huì)通過(guò)任意代碼執(zhí)行將其修改到41414141。首先我們要讓手機(jī)連接到我們的移動(dòng)網(wǎng)絡(luò)中。一旦手機(jī)連接上來(lái)，我們就會(huì)發(fā)動(dòng)攻擊，而手機(jī)上不會(huì)有任何被攻擊的表現(xiàn)。最后，我們查看手機(jī)的IMEI，可以發(fā)現(xiàn)它已經(jīng)被修改成了我們控制的值，證明我們已經(jīng)完成了代碼執(zhí)行。這個(gè)簡(jiǎn)單的演示僅僅表達(dá)了一種可能性，事實(shí)上我們還可以通過(guò)相同的攻擊完成通話攔截、竊聽(tīng)麥克風(fēng)、數(shù)據(jù)竊取或者冒充機(jī)主發(fā)送消息等等更高危險(xiǎn)的行為。這就是我們的演示內(nèi)容了，感謝觀看。

這就是我們最新研究成果的演示。更多關(guān)于產(chǎn)業(yè)安全的資訊歡迎關(guān)注“騰訊安全”官方微信公眾號(hào)以及小程序獲取。感謝各位的時(shí)間，謝謝。