Wi-Fi可以变成IMSI捕捉器，追踪各地的手机用户

你的智能手机安全面临一个新的危险：你的移动设备可能会在你不知情的情况下被劫持和跟踪。

还记得黄貂鱼吗？

这一备受争议的手机间谍工具，也被称为“IMSI捕手”，长期以来一直被执法部门用来跟踪和监控手机用户，方法是模仿手机信号塔，并欺骗他们的设备与他们连接。有时它甚至会拦截电话和互联网流量，发送假短信，并在受害者的手机上安装间谍软件。

当然，设置这种黄貂鱼类型的监控设备是昂贵的，需要付出很多努力，但研究人员现在发现了一种新的、最便宜的方法，可以在一个简单的Wi-Fi热点上实现同样的目的。

是的，Wi-Fi网络可以从附近的智能手机上捕获IMSI号码，几乎任何人都可以通过无线方式跟踪和监控人们。

IMSI或国际移动用户身份是一个唯一的15位数字，用于在网络间移动时对用户进行身份验证。该号码存储在SIM卡的只读部分，并由移动运营商提供。

注：不要将IMSI编号与IMEI编号混淆。IMSI绑定到用户，而IMEI绑定到设备。

偷你的指纹到处追踪你

在BlackHat Europe的一次演示中，牛津大学的研究人员Piers O’Hanlon和Ravishankar Borgaonkar展示了一种新型的IMSI捕获器攻击，它通过WiFi进行操作，允许任何人在用户经过时在一秒钟内捕获智能手机的IMSI号码。

然后，攻击将使用该IMSI号码监视用户的每个动作。

实际问题在于世界上大多数现代智能手机（包括Android和iOS设备）连接Wi-Fi网络的方式。

在大多数现代移动操作系统中，有两种广泛实施的协议：

• 可扩展身份验证协议（EAP）
• 认证和密钥协商（AKA）协议

这些协议允许智能手机自动连接到公共WiFi热点。

现代智能手机被编程为自动连接到已知的Wi-Fi网络，通过交出IMSI号码登录网络，而无需用户交互。

因此，利用WiFi认证协议的攻击者可能会允许他们设置一个伪装成知名WiFi网络的“恶意接入点”，并欺骗该范围内的智能手机进行连接。

一旦连接，流氓接入点立即提取其IMSI号码。这个捕捉到的智能手机的唯一标识符将允许攻击者跟踪你的移动，无论你走到哪里。

截获WiFi通话窃取您的唯一身份号码

研究人员还演示了另一种攻击向量，攻击者可以劫持。无线电话由移动运营商提供的功能。

这项技术不同于WhatsApp或Skype应用上使用互联网语音协议的语音通话。

而iOS和Android设备上支持的WiFi通话，允许用户通过连接到运营商的手机通过WiFi进行语音通话边缘分组数据网关（EPDG）使用加密的IP安全（IPSec）协议。

与WiFi自动连接功能一样，用于验证WiFi呼叫的互联网密钥交换（IKEv2）协议也基于通过EAP-AKA交换的IMSI号码等身份。

EAP-AKA交换是加密的，但问题是它们不受证书保护。

研究人员称，该问题将该功能暴露给中间人（MITM）攻击，使攻击者能够拦截试图通过WiFi拨打电话的智能手机的流量，并在几秒钟内快速提取IMSI号码。

好消息是，您可以禁用设备上的Wi-Fi呼叫功能，但Wi-Fi自动连接只能在此类网络在范围内时禁用。

研究人员向苹果、谷歌、微软和黑莓等移动操作系统公司以及GSMA等运营商报告了这些问题，并一直在与他们合作，以确保未来对IMSI号码的保护。

通过与这两位研究人员的对话，苹果在iOS10中实施了一项新技术，允许手机交换假名而不是标识符，帮助减轻了威胁。

两人在结束他们的研究[slides PDF]时展示了一个概念验证系统，该系统演示了他们的IMSI捕手采用被动和主动技术。