2000元不到，他就在某宝上整出了一套伪基站装备

“我为了得到一个授权书，比他妈西天取经都难！”

电影《泰囧》中，高博为了几个亿的合同授权书，煞费苦心跟踪徐朗，各种高科技跟踪手段轮番上阵。不仅博得观众一笑，怕是卖定位追踪技术的也笑了。

当然，里面用到的手段只是常用定位技术的其中一两种，实际像基站定位、wifi定位、IP定位、RFID/二维码等标签识别定位、蓝牙定位、声波定位、场景识别定位……只有你想不到，没有跟不到。

而今天要说到的就是基站定位。

你眼中的基站是怎样的？

这样的？

还是这样的？

醒醒，今天我们要说的是 FemtoCell 家用基站，酱儿的~

FemtoCell 是一种小型、低功率蜂窝基站，主要用于家庭及办公室等室内场所，用户只要将 FemtoCell接入基于IP的网络中就可以在家中更好地使用移动电话，而且还是运营商送上门，用户不花钱！

但是，用户触手可及的 FemtoCell 也常被一票任性的黑客惦记，甚至黑客可以在搭建 FemtoCell之后，迅速地将其改造成伪基站短信群发器和流量嗅探器。

试想，你的暧昧短信、通话、数据流量被窃听是多么恐怖。

最近编辑听了一场 Seeker 的演讲，主题是“某宝上的电信设备与 IoT 安全”。

Seeker 的个人简介依旧个性，甚至在问到为何做这方面研究时也是言简意赅的一句好玩。

不知攻，焉知防。

当白帽子披上黑帽子的外衣，利用 FemtoCell 能做哪些暗戳戳的事情？Seeker 进行了解密。

第一步，“招兵买马”

把大象装进冰箱只需要三步，而利用 FemtoCell 监听定位需要几步？

首先要搭建一个家用基站，即买设备。

FemtoCell很容易从某宝上买到，当然你先要知道如何针对性搜索。

这里可以参考一下大神 Seeker 的购买清单：

移动：GSM：京信HMB-10

TD-SCDMA：京信HNB-33、博威HN1200

TD-LTE：中兴BS8102

联通：华为UAP2105、UAP2816、UAP2835、UAP2855

华为ePico3801、华为ePico3802

电信：华为ePico3680

这些FemtoCell价格很便宜，每种Seeker都买了不止一套，最低的20元，最贵的450元。

第二步，“拿钥匙”

我们先来观察一幅图。

这是典型的3G网络结构。最左边的是手持终端，中间部分是两类基站，3G 的时候叫 Node B，与 RNC 配合对接运营商核心网，最后联接到互联网。而在FemtoCell 中叫做 Home Node B，它会通过互联网和安全网关SeGW通信，随后联接到运营商核心网络。

几乎所有FemtoCell都会联接自动配置服务器 ACS。ACS使用TR-069协议，用来下发配置文件，包括配置 Home Node B地址，以及更新FemtoCell的固件（Firmware）。

实际上，运营商使用的 TR-069 协议，可以完成四个方面的工作：

一是用户设备自动配置和动态的业务配置。

二是对用户设备的软件、固件的管理。TR-069的协议提供了对用户设备中的软件、固件进行管理和下载的功能。

三是对用户设备的状态和性能进行监测。

四是对通信故障的诊断。

但这并不代表它是安全的，或者说，对于神通广大的黑客，这都不是事儿~

最大的问题是ACS的地址是需要在FemtoCell上配置并保存的，所以就会可能黑客修改成自己的地址。

这里有一种安全的方法，就是在拨了安全网关之后，再联TR-069服务器。

准备就绪后，首先要root。root才能获得设备的全部权限，才能在FemtoCell上运行自己的程序。具体做法因设备而异，运气好可以直接利用JTAG、UART等调试接口，运气不好可能要从旧设备里读出Firmware再加以修改后写回去。

root用到的设备非常简单，基本上数字万用表、CP2102、杜邦线、SEGGER J-Link就够了，要专业一些，还可以配上BusPirate、JTAGulator、NAND Flash读写器等。root的软件，最重要的是TR-069，推荐使用 GenieACS，还有IDAPro、OpenOCD等。

root 之后可以破解 IPsec，侦听往来通信，甚至修改通信的内容而不被发现。因为FemtoCell本来就是合法的运营商基站，在实施攻击的时候，发往用户手机的数据和短信都被认为是合法的，而在内容层面也不会有任何的安全验证。

第三步，“开门”

在root FemtoCell以后，就可以联入到运营商的核心网，实施信令攻击。为什么要联运营商的核心网？

搞事情啊！

获得认证加密五元组（IK，CK，AUTN，RAND，XRES），四元组（Kasme，AUTN，RAND，XRES）

不用去现场，坐在家里就可以通过信令监控任意的手机，获得它的位置、通信内容，还可以远程植入木马。

当然，进入运营商核心网的具体做法也要视情况而定。通常是在FemtoCell上运行一个自己写好的代理程序。

那是否可以脱离 FemtoCell 直连核心网呢？

答案是可以。

原因就是京信、中兴的FemtoCell使用软SIM，在文件系统里的某一个文件里写了密钥，把这个密钥取出来以后，通过 strongSwan （需要修改代码），就可以用自己的PC拨通运营商的安全网关。

较为困难的是使用真 SIM 卡的华为等FemtoCell，需要PC/SC读卡器，还要做strongSwan代码方面的更多修改。

通过FemtoCell 联接运营商核心网的主要问题是容易被反向追踪，实际上现在更普遍的方法是用互联网去联运营商的核心网。

主要步骤是，

找到暴露在互联网上的GRX或IPX设备，通常是GGSN/MME，发送信令。

拿下某 GRX 设备的 root 权限，进行内网漫游

这里会用到另外一个开源软件 OpenGGSN。它可以把自己模拟成SGSN，帮你寻找GGSN，给它发信令，看看它有没有回应。

还有一点比较有意思，如果在运营商的内网，比如用了联通或者移动的4G网络，实际上我在它的网状结构的里面，接入网的最底层的设备。从这儿往上搜索，与国外联过来进行扫描的结果差异比较大，能扫描到更多的可用设备。

那有什么防御手段吗？

可以看到的是，整个搭建过程并非十分复杂，但若是把出于兴趣研究的 Seeker 换做是别有用心的黑客，就会让人笑不出来了。

“FemtoCell 本身的安全机制有用，但是不足以对付一个执着的黑客。”Seeker表示。

除了FemtoCell，Seeker发现神奇某宝上还可以便宜买到运营商正大量使用的基站设备。当然你要先知道运营商基站的典型配置，然后针对性搜索。比如运营商基站主要由BBU 和 RRU两部分组成，最好知道设备的具体型号，比如华为最新型号BBU3910，插不同的基带板和主控板就能支持不同的通信制式。下面的图片就是标准的华为LTE室内分布系统，包括电源，RHUB，BBU，RRU等。其中pRRU3902的功率大约125mW，有效覆盖半径约50米。

编辑这里算了一笔账，典型TD-LTE 配置的华为 BBU3910 大概 500-700元，RRU也很便宜，价格大概100-1000不等，常用的包括华为pRRU3902大约200元，再加上RHUB3908和通信电源ETP48100，GPS天线等，这一套算下来不到2000元。

这一套设备个头可是不小，加电后风扇声音很大，肯定不能随身携带，黑客不会感兴趣，但是比较适合网络安全公司搭建无线通信实验环境，从事IoT设备的安全研究。

从网上购买了运营商的基站， 为了让设备正常工作，实际上需要解决两个问题。一是基站要联 OMC，类似于ACS，从网上可以下载华为的M2000进行破解，另外还需要联 MME，可以使用开源的OpenAirInterface里的MME。

这一套基站跟运营商所用完全一样，只是没有联运营商的核心网，不能通过双向认证，所以不被手机认为是合法基站。如果想变身运营商合法基站，就需要能联接到运营商核心网，获得AV四元组。上面介绍的两种进入运营商核心网的方法都可以。

看完了这些是不是陷入了深深的担忧之中？

那是否有什么防御手段呢？

Seeker建议，

对于各网络公司、APP 开发者、IoT厂商及网络服务商来说，互联网与电信网络同样不安全，必要的是有应用层的认证和加密体系。短信验证码不可信，应尽可能启用双因子认证。

对于认证服务商、银行、运营商来说，市场需要可靠的认证基础设施，网点多的机构有优势，应尽可能可抢占先机开展服务。

对于电信设备厂商，应增加更多安全特性，增加破解难度。

对于电信运营商，网络建设应遵循 3GPP 安全标准，再辅以多层次防御体系，如安全审计、防火墙、蜜罐等。

对于淘宝等电商平台，应下架运营商设备。这些设备只应该卖给运营商，不应该出现在2C的电商平台上。

而面对国内通信行业飞速发展，运营商建设十分粗放的现状，用户所能做的除了蹙眉似乎并无他法。

不过幸好，编辑在 Seeker演讲结束后看到他发了一条朋友圈，内容大概是：一个正义的白帽子为了防止成果被防不胜防的黑客惦记，已经将自制的伪基站埋进了某个公园的地下……

情不自禁点个赞。