黄琳：讲讲在 3GPP 修复重定向漏洞的故事-安全客

在上周刚结束的3GPP RAN2#100次会议中，一个关于LTE重定向的安全问题终于得到了修复。自我们2016年5月公布这个漏洞，之后在3GPP标准会议多次呼吁，终于在一年多之后，问题得到解决。因此写一篇短文，记录一下此间的曲折过程。

2016年5月

大家知道独角兽这边伪基站玩的比较多，各种制式的伪基站都有一些。小伙伴们有时懒得进屏蔽室做实验，就会不小心殃及同事。这不，这周还有几个同事的手机网络名变成了这样，返回真实网络都变不回去了。（嗯嗯，这事3GPP也在讨论怎么fix。）

那一年多前呢，我们在研究LTE伪基站，发现了一些问题。就在HITB阿姆斯特丹会议，讲了一个LTE的安全问题。就是LTE网络有一种重定向消息，允许不带完整性保护，于是可以被攻击者利用，把手机驱赶到GSM伪基站再进一步利用。

我们在会议之前就跟一些运营商、设备商、终端厂商沟通过这个情况。

[通信圈]：嗯，是有点问题。不过不严重嘛。如果黑客要把手机降级到2G，有更简单的方法，上干扰器呗。如果运营商想修，那就修一下好了。不修也没事，没有什么重大安全事件出现啊。几个小黑客的零散攻击，不足为惧。

[安全圈]：嘿，你们这个实验好酷啊。我们也想重复一遍，你们把源码公开一下吧？用干扰器？这太没技术含量了吧！这种方法可以只盯着一个人降级，到2G就好办了，所有流量就都可以分析了[奸笑] 而且你知道干扰器多麻烦吗？都是全频段干扰！搞不好自己的伪基站都接不上。

大概6月的时候，A公司可能是看到了我们的议题，在3GPP RAN2提了一个修复建议。这事其实挺简单的，就是RRC重定向消息都必须有完整性保护。我们看到这个消息觉得挺高兴，觉得能影响到标准修复挺好的。就保持关注，看3GPP什么时候能把这个修复了。

插播一下3GPP的组织结构。3GPP中分了很多组，分别负责不同的协议层。RAN是指Radio Access Network。RAN2是负责RAN的第2层协议，比如MAC层，RLC，PDCP，RRC等。因为重定向消息是RRC层携带的，所以这事归RAN2管。除了RAN之外，3GPP还有SA（Security Architecture）的小组，其中SA3组是专门做安全的。

后来B公司研究了一下，发现这种不加完保的重定向信息除了在初始接入的时候，还会在CSFB的时候使用。CSFB的时候，为了减少接入时延，就没有建立安全上下文，所以没有保护RRC信令。所以B公司提出说，A公司的建议我们得研究一下，我们不想增加CSFB时延。从B公司的这个意见开始，重定向问题的修复，就走上了弯路。

CSFB真是个很有问题的部分，记得我们今年的幽灵接线员漏洞吗？也是因为CSFB没有鉴权造成的。CSFB为了功能性，牺牲了安全性，所以问题百出。幽灵接线员这个漏洞还拿下了GSMA漏洞平台的第一个漏洞编号，CVD#0001.

2016年8月

8月，就是BlackHat和DEFCON这两大黑客大会的时间，去年重定向漏洞议题也被DEFCON接受了。黑客会议跟学术会议不同，一稿多投是很平常的，被录用次数越多，说明这个成果越受关注。重定向这个议题，在2016年，一共中了4个会……

那这次美国的黑客会议呢，就把这个故事带上了一个小高潮。导火索是史中老师的一篇文章。史中是谁？安全圈有名的媒体人。在我眼里，相当于安全圈的咪蒙（史老师对这个比喻没意见吧？）。他的笔那个毒啊，一出手，阅读量可不得了。于是通信圈就炸锅了……

[通信圈]：

文章一：胡说八道！4G网络怎么可能被窃听？！4G网络双向鉴权，还有加密，根本不可能窃听！这也太标题党，真是语不惊人死不休。费那么大劲就为赶到2G下面发个垃圾短信，太无聊了吧！

文章二：小编我搞到了演讲ppt，来来我们仔细解读一下。

[安全圈]：

看清楚技术细节再吵架好不好……

感谢感谢，还是有明白人……

[插播]：写这段时，我联想到了前不久小灰灰破解OFO单车那事，也是2G伪基站劫持。也被人说，你们花这么高成本来破解，真是闲得蛋疼。确实，很多Hacker就是很轴的……

2017年3月

这时候我们360也加入3GPP，成为成员之一了，可以去参会看看他们是怎么讨论的。

[通信圈]：咦？怎么你们360，一安全公司怎么也加入3GPP了？你们来做什么？不是为了RAN1投票的事吧……

[360]：[懵]RAN1在投什么票？我们就是想看看5G会不会把IMSI Catcher干掉啊？

[通信圈]：咦？ 360也做手机的呢。所以你们是想做专利啦？可是你们手机体量还很小呢？建专利池不容易哦。

[360]：我们就是奔着情怀来的，不行吗……

自从B公司在RAN2提出CSFB减小时延很重要之后，SA3组的专家们就开始设计各种既能减小时延又能保证不被篡改的新方案。C公司和D公司都提出了新方案。这些新方案在RAN2，SA3，CT1等各个组之间转来转去相互讨论。各组之间是没有什么机会当面讨论的，都得使用联络函（LS, Liaison Statement），联络函的回复通常只有开会的时间才会回复。所以经常是SA3提出方案给RAN2；过了一两个月，RAN2回了个消息说啊这个问题是不是要请示一下CT1；再过一两个月，CT1回复说那如果我们blabla这样做SA3你觉得有什么问题吗……

我们感觉皮球这么踢下去，不知道什么时候才会有结果。并且我们感到其实SA3的专家们并没有看过我们的议题，不了解问题的起源。于是某次会上我们发言说，大家不要忘了除了CSFB，还有初始attach这个场景要解决哦。此时，各组的专家们才从那个分支上被拉了回来。

其实Security很多时候得从系统整体的角度来看，攻击者会从很多种入口发起攻击。而3GPP是协议分层的架构。SA3的安全专家最熟悉的是鉴权机制、加密算法、NAS层信令，而其他协议层的内容并不是非常了解。3GPP不同的分组之间，甚至在同一个公司内，RAN2和SA3的同事都交流甚少。

2017年11月

2017年是5G标准设计非常紧张的一年。2017年底，5G的第1版标准就要封版，所以3GPP的各个组都忙于讨论5G。又大半年过去了，重定向漏洞的修复并没有大的进展。SA3经过讨论，把两个认为OK的方案交给RAN2，方案一是后来C公司和D公司提的能减小CSFB时延的，方案二就是最早A公司提的激活AS安全，请RAN2自己选择用哪一个，或者两个都支持。

本来我没指望在11月底这次会，RAN2会对这个问题拍板。没想到RAN2在5G任务如此繁重的情况下，竟然把这个问题给处理了。最后的选择是方案二，也就是简单明快直截了当的那个方案。[拍手称赞] 另一方面，早知如此，何必要让SA3忙活这么久给你们想新方案呢。AS激活时延到底多大，RAN2不清楚么？

SA3作为安全组，在3GPP里其实挺为难的，经常要面对功能性和安全性的斗争。在SA3组内，也有支持安全性的激进派和维护功能性的保守派，两股力量的较量。3GPP标准，正是在这样的模式下达到一种动态平衡。

[SA3]：咱们给每个基站的标志都加个签名怎么样？这样就再也不会被伪基站困扰了。

[RAN]：神马？！要搞证书体系这么复杂的事情。不行不行，太重了！不能因为几个小黑客，把整个系统都加把大锁。

[SA3]：每条链路都要有完整性保护，要有加密！

[RAN]：不行啊，我这边IoT芯片能力太弱，没法支持安全算法！

……

有没有感觉很多产品设计的时候，都有类似的斗争呢。世界就是在这样的激进和保守的拉扯之中，螺旋式的前进。

Anyway，我们在2017年终于看到这个小bug的修复。

end

—

我们在意的那些小事（代后记）

文 | 史中

2017年12月初，360独角兽团队的黄琳博士找到我，说要给浅黑科技投个稿。被这样一个女博士兼黑客大咖投稿，我很是受宠若惊，以为她又发现了这个世界的惊天大 Bug。但读过之后才明白，她写了一件“小事”。

事情有多小呢？一句话就能概括：

2016年初，她和团队发现了运营商 4G 通信协议的漏洞，这个漏洞可能被坏人利用，窃听你手机里的所有信息。而在2017年尾，这个漏洞终于被官方标准组织 3GPP 修复了。

（一）

最初公布这个漏洞，所有人都觉得这是一个小事。

运营商觉得这是一件小事：因为通信协议中存在不少类似的漏洞，有的很难修复，索性不管了。你看，即使没修复，太阳也照样东升西落，红旗照样插满祖国，没有人颤抖着把手机关掉。

通信圈也觉得这是一件小事：满大街的背包客伪基站，利用其他方法，也可以截获用户手机的所有信息，我们的民族靠着顽强和坚忍，不也挺过来了吗？

设备商、终端商同样觉得这是一件小事：没有必要因为这个小威胁而投入成本对设备进行升级。

但在黑客心里，这是一件大事：

我们的手机上，有我们的隐私。这关系到你我的尊严和自由。而尊严和自由，是每个人的领土，一寸都不能让。

她和团队的另一位美女黑客张婉桥把这个问题带到了顶级安全会议 BlackHat 和 DEFCON 上。于是，有了我2016年8月的文章《中国美女黑客展示攻击 4G LTE，手机数据随意看》，随后引发了那场不小的争议。

很多人觉得黄琳和团队根本就是哗众取宠，用现实生活中也许不会出现的事情来“恐吓”公众。而黄琳觉得，问题就是问题，问题的命运就应该是被解决。如果不解决，未来我们可能要为此付出巨大的代价。

所以他们决定继续做一些事情。

（二）

我想起了那个奔走在山路上的秋菊。。。

她和独角兽团队不断把研究内容做得更精确更细致。2017年3月，她所在的 360 公司加入了 3GPP 标准组织。终于，她能够进入这个组织内部慢慢影响事情的进展了。黄琳和同事不断在 3GPP 的内部会议上阐述这个漏洞对于通信安全的巨大影响，以及给出修复的建议。

又是大半年过去了，3GPP 终于修复了这个漏洞。此时距离她发现这个漏洞已经过去了将近两年。

她在文章结尾加了一个开心的表情。轻描淡写，朗若晴空。字里行间未见辛酸和无奈。

但我却有话说。

（三）

我回忆起第一次见到黄琳。

博士头衔，十年法国电信高级研究员履历，国内顶级无线电安全团队独角兽的女旗手。单看她的背景资料，像是个摇滚老炮儿。

然而站在面前的黄琳博士，却看起来凛若冰霜，不善言辞。她和你只聊技术，不聊感情。冷不丁把我这种心潮澎湃的写手撞得满地找牙。

我用了几年时间，真正认识了她。或者说认识了和黄琳相似的很多人。他们把普通人用一瞬间就用光的力量，整整维持在几年，甚至更久远的时光里。

黄琳在文章里提到了百度的安全研究员小灰灰。在我眼里，他们颇有几分相似。

小灰灰曾经蹲在公司的自动售货机前半个月，只为了研究一个“不花钱就能买饮料”的安全漏洞。他也曾经蹲在 ofo 共享单车前好多天，引来无数朝阳大妈的侧目，只是为了发现能够“不花钱就骑车”的漏洞。他还曾经在舞台上尝试了无数次，只为了成功展示人脸识别有多么不安全。他甚至把 GeekPwn 黑客大赛主持人黄健翔的话筒抢过来，对着现场的观众普及了十五分钟安全知识。

当看到有人在文章下评论他：“破解小黄车，费了半天劲就是为了省一块钱，真是闲得X疼；秀智商，脸皮真厚，应该感谢 ofo 给了你一个展示的机会”的时候，我一瞬间如鲠在喉。

这也是为什么，当看到黄琳用两年的努力终于让这个世界修复了错误的时候，我如此地心潮汹涌。

当世界对你充满误解和恶意的时候，你唯一能做的，就是忍耐、坚持和战斗。

因为时间终会归还你所失去的一切，一丝一毫都不会少。

这是无数个黑客教会我的。