原文地址:http://drops.wooyun.org/tips/11955

Author:绿盟科技博客

0x00 简介


p1

OsmocomBB(Open source mobile communication Baseband)是国外一个开源项目,是GSM协议栈(Protocols stack)的开源实现。其目的是要实现手机端从物理层(layer1)到layer3的三层实现,主要进行2G网短信嗅探。本文详细地介绍了实现方法,以供安全爱好者学习和参考。

目前来看,真正的物理层(physical layer)并没有真正的开源实现,暂时也没看到实施计划。只有物理层控制。因为真正的物理层是运行在baseband processor的DSP core上,涉及到许多信号处理算法的实现,而且还要牵扯很多硬件RF的东西。这项技术至少在2010年,技术已经成熟,2011年就有开源实现了。得益于OsmocomBB 的开源项目,使得我们用一台笔记本和很简单的硬件就能完成GSM sms嗅探。

0x01 原理分析


关于加密

GSM加密采用A5算法。A5算法1989年由法国人开发,是一种序列密码,它是欧洲GSM标准中规定的加密算法,专用于数字蜂窝移动电话的加密,用于对从电话到基站连接的加密。A5的特点是效率高,适合硬件上高效实现。

A5发展至今,有A5/1、A5/2、A5/3、A5/4、A5/5、A5/6、A5/7等7个版本,目前GSM终端一般都支持A5/1和A5/3,A5/4以上基本不涉及。值得注意的是,A5/2是被『故意弱化强度』的版本,专用于『出口』给『友邦』,2006年后被强制叫停,终端不允许支持A5/2。

工作流程

手机开机时的位置更新流程:

  1. MS(手机)向系统请求分配信令信道(SDCCH);
  2. MSC收到手机发来的IMSI可及消息;
  3. MSC将IMSI可及信息再发送给VLR,VLR将IMSI不可及标记更新为IMSI可及;
  4. VLR反馈MSC可及信息信号;
  5. MSC再将反馈信号发给手机;
  6. MS倾向信号强的BTS,使用哪种算法由基站决定,这也导致了可以用伪基站进行攻击。

关于GSM网络相关知识

p2

0x02 所需硬件


支持的手机

我们选择Moto C118,因为官方支持的最好、硬件成本低,¥35/台(手机+电池+充电器)

p3

USB转串口模块

推荐带TX/RX LED的 FT232模块,当然其他模块也可以,比如CP2102、CP2303等模块,不过使用前要先调好比特率。FT232模块,我买的是¥35的,第一个嘛,为了求稳定。后面做多个手机联合嗅探的时候可以尝试买一些便宜的。

p4

C118数据线

这个数据线就是2.5mm耳机头转杜邦线,注意一头是2.5mm耳机孔的,另一边是杜邦线连接串口模块。手边有2.5mm耳机插头的可以自己做一个。当然网上现在也有现成的了,不过成本稍微高一点。¥15左右一条

p5

MiniUSB链接线

这个线应该都有,以前的mp3、手机啥的都是这个线,马云家卖¥10,如果你用了Pl2303那类的USB转换板,就可以不用这根线了,那个板子上自带U口。

p6

0x03 编译OsmocomBB


基础环境

MacOs 10.10.5 + VMworkstation + Ubuntu 12.04 x64

我的实验用的是这样的环境,网上很多教程都说X64的虚拟机不能正常编译,但是我确实是成功了。也可以尝试使用别的环境试试,毕竟我的实验环境仅供参考。

网路环境要求能够正常访问github,实验环境周围存在GSM信号。

C118手机有足够的电量,支持实验。

准备所需目录以及文件

具体项目目录结构和所需文件如下图:

p7

准备好之后的目录如下图:

p8

我是把整个source目录放在了用户文件夹下,仅做参考。只需要按照上面文字格式的结构图准备就好,图片中未出现部分后面会写如何出现…

编译环境准备

编译前安装所需的依赖库文件:

#!bash
sudo apt-get install build-essential libgmp3-dev libmpfr-dev libx11-6 libx11-dev texinfo flex bison libncurses5 libncurses5-dbg libncurses5-dev libncursesw5 libncursesw5-dbg libncursesw5-dev zlibc zlib1g-dev libmpfr4 libmpc-dev

p9

在arm根目录执行build.sh文件进行build操作:

#!bash
chmod +x gnu-arm-build.2.sh ./ gnu-arm-build.2.sh

p10

完成后arm/install/目录结构如图所示:

p11

因为编译需要,把arm/install/bin路径加入到环境变量中,我这里是加入到用户的环境变量中。使用pwd命令获取绝对路径:

p12

修改~/.bashrc文件,最后一行加入:

#!bash
export PATH=$PATH:/home/wooyaa/source/arm/install/bin

执行source命令让配置文件即时生效:

#!bash
source ~/.bashrc

在终端中输入arm然后按tab键,如果出现如下图所示就说明编译环境搞定了:

p13

编译OsmocomBB

把osmocom项目gitclone到source目录下:

#!bash
git clone git://git.osmocom.org/osmocom-bb.git git clone git://git.osmocom.org/libosmocore.git

在libosmocore/目录中编译osmocom核心库文件

#!bash
cd /home/wooyaa/source/libosmocore/ autoreconf -i ./configure make sudo make install

编译OsmocomBB:

#!bash
cd /home/wooyaa/source/osmocom-bb/src/ git checkout –track origin/luca/gsmmap //选择分支 make //交叉编译

如果没什么问题,软件环境和固件就都编译好了。

Ununtu 12.04自带FT232R驱动,所以直接连接就能使用,不需要再装驱动。

常见错误

常见报错有可能是autoconf、libtool、libpcsclite-dev等文件的缺失,只要装好就行了。具体版本请使用apt-cache search xxx在你自己电脑中的apt-get的list中查找。

0x04 使用方法


连接硬件

在终端中输入lsusb,会显示当前usb连接的信息:

p14

如果驱动正常,插上MiniUSB线后就能看到usb-serial:

p15

网上的教程大多都误认为是将firmware刷入手机,实际上这里只是把固件加载到手机RAW中执行。

加载Firmware到手机raw中

#!bash
cd /home/wooyaa/source/osmocom-bb/src/host/osmocon/./osmocon -m c123 -p /dev/ttyUSB0 ../../target/firmware/board/compal_e88/layer1.compalram.bin
  1. 其中 –m c123跟c123xor的区别就是是否检测数据总和
  2. 上面命令需要在关机下执行,然后短按开机键

终端上会显示”starting up”字样,如下:

p16

手机屏幕显示Layer 1 osmocom-bb 字样就表示成功了:

p17

扫描基站

#!bash
cd /home/wooyaa/source/osmocom-bb/src/host/layer23/src/misc/sudo ./cell_log –O

其中cell_log的参数是字母O,具体作用是只检查ARFCN是否可用,不进行其它操作,可以用./cell_log –help参看说明。

终端中会输出日志信息,其中会包含能够收到的基站的相关信息,格式类似这样:

#!bash
cell_log.c:248 Cell: ARFCN=40 PWR=-61dB MCC=460 MNC=00 (China,China Mobile)

ARFCN后面的编号可以代表基站信道号,还包含了运营商信息。

p18

关于嗅探

因为我们买的便宜货,每个手机只能嗅探一个信道,具体一些的,可以参考下面的图(我们现在只能抓Downlink的数据包):

p19

因为想要Sniffer Uplink的包,要修改硬件,C118主板上的RX filters要换掉,换成我们需要的HHM1625&&HHM1623C1滤波器组件,才能抓Uplink的数据包。

有关信道号ARFCN的问题,可以参考下面的图:

p20

开始嗅探

选择想要监听的信道号并开始嗅探广播数据。

在目录/home/wooyaa/source/osmocom-bb/src/host/layer23/src/misc/下执行嗅探:

#!bash
./ccch_scan -i 127.0.0.1 -a THE_ATFCN_ID

其中THE_ATFCN_ID就是扫描到的日志中参数ARFCN的值。

苹果手机可以执行:3001#12345# 进入工程模式后,选择GSM Cell Environment->GSM Cell Info->GSM Serving Cell,就可以看到目前手机连接的基站ARFCN值了,应该在第二步中,也能看到这个ID存在。

其他手机的命令

Samsung (Android): *#0011#

p21

使用wireshark抓取监听数据

因为osmocomBB执行之后默认会在本地开启4729端口,这时候的GSM协议已经被封装上了TCP-IP,可以在本地用wireshark抓到,所以我们使用wireshark去监听4729的端口

#!bash
sudo wireshark -k -i lo -f 'port 4729'

p22

在wireshark中过滤gsm_sms协议数据,过滤之后得到的数据里面就包含短信的明文信息。 过滤后得到的明文短信信息

p23

SMS text就是短信的明文内容,其他git分支还支持把监听到的数据保存到cap包,然后通过脚本来过滤包内容,达到嗅探短信明文的目的。后面会有计划的去尝试。

配置OsmocomBB

layer23是用/home/wooyaa/source/osmocom-bb/src/host/layer23/src/mobile下的mobile程序实现,所以通过执行mobile文件可以进行自定义,配置一些关于osmocom-bb的信息。

#!bash
cd /home/wooyaa/source/osmocom-bb/src/host/layer23/src/mobile
sudo ./mobile -i 127.0.0.1

执行mobile程序之后,会在本地开启4247端口,使用telnet连接,然后配置执行,随时使用?来查看help信息。

p24

关于嗅探内容

简单来讲,短信接受者的号码、IMEI等数据,只有在”Location Update”时才会在网络中出现,并且是以加密形式传输的。当接收短信时,基站根据之前位置更新时注册的信息,判断接收者的位置。所以,想要拿到接受者的号码,需要破解A5/1算法并还原出”Location Update”时的原文。

只不过需要价格昂贵的USRP2…

另外还看到个RTL-SDR的文章(就是以前传说中可以跟踪飞机的电视棒),也支持Airprobe:

http://www.rtl-sdr.com/rtl-sdr-tutor…and-wireshark/

Tips

  1. 记住所有操作在sudo -s root权限下操作。
  2. 开机键不是长按,而是短按,否则就进入原系统了。
  3. 现在2G短信越来越少了,多等等会有的。理论上话音一样能够被监听及解码,只是涉及技术更为复杂。
  4. CP210x的接线,RX和TX有可能需要对调。运行cp210x-program需要先安装ibusb-dev,如果输出是“No devices found”或“Unable to send request, 3709 result=-110”,则有问题。

0x05 后期计划


捕获上行包

因为想要嗅探Uplink的包,要修改硬件,C118主板上的RX filters要换掉,换成我们需要的HHM1625&&HHM1623C1滤波器组件,才能抓Uplink的数据包。修改方法如下:

要使手机能够成为『passive uplink sniffer』,必须动到电烙铁,替换掉RX filters。

替换前:

p25

摘掉后:

p26

替换后:

p27

使用OsmocomBB RSSI monitor查看信号强弱:

#!bash
./osmocom-bb/src/host/osmocon/osmocon -p /dev/ttyUSB0 -m c123xor -c ./osmocom-
bb/src/target/firmware/board/compal_e88/rssi.highram.bin ./osmocom-
bb/src/target/firmware/board/compal_e88/chainload.compalram.bin

由于RSSI太大,不便于像OsmocomBB那样直接加载,所以要先用-C参数加载一个小的chainloader程序去加载我们真正的RSSI Payload程序:

p28

短信内容实时web页面展示

制作成绵羊墙,在线实时显示嗅探到的短信

多设备联合嗅探

尝试多设备一起嗅探,增强嗅探范围和效果

0x06 附录


DIY Moto C118数据链接线

p29

图中例子耳机为moto T191的耳机,右图中标注的颜色为耳机线拆开后里面线芯的颜色。耳机线拆开后里面会包含3根带有外皮的铜线。

GSM网络相关知识

p30

从协议图中得知,移动设备(MS)和基站(BTS)间使用Um接口,最底层就是刷入手机的layer1物理传输层,之上分别是layer2数据链路层和layer3网络层

p31

位于图中layer2的LAPDm,是一种保证数据传输不会出错的协议。一个LAPDm帧共有23个字节(184个比特),提供分片管理控制等功能。

layer3的协议则可以分为RR/MM/CM三种,这里只列出嗅探相关的功能:

p32

参考GSM的文档 TS 04.06 得知 LAPDm 的Address field字段中,定义了 3.3.3 Service access point identifier (SAPI)。SAPI=3就是我们要的Short message service。 使用tcpdump配合show_gsmtap_sms.py脚本在console列出短信明文。

#!bash
tcpdump -l -ilo -nXs0 udp and port 4729 | python2 -u show_gsmtap_sms.py

一些名词解释

参考文献