随着5G在手机、物联网设备、工业控制等领域的普及,其安全稳定性直接关系到亿级用户的隐私与财产安全。但近期新加坡科技设计大学(SUTD)ASSET研究组推出的SNI5GECT框架,却揭示了一种全新的5G攻击路径——无需搭建易被检测的“伪基站”,只需作为“隐形第三者”被动嗅探、精准注入,就能让手机调制解调器崩溃、5G降级到4G,甚至窃取用户身份信息。今天我们就从技术原理到实测效果,拆解这种新型攻击技术。
一、先搞懂:5G认证前的“安全漏洞窗口”
要理解SNI5GECT的作用,首先得明确5G通信中的一个关键阶段——认证前(pre-authentication)阶段。
当你的手机(UE,用户设备)要连接5G基站(gNB)时,会经历“随机接入→身份验证→建立安全上下文”的流程。而在“身份验证”完成前,手机与基站交换的消息既未加密,也没有完整性保护——这是5G协议设计的“天然窗口”,因为此时双方还未协商出加密密钥。
这个窗口虽短(从手机发起RACH随机接入,到NAS安全上下文建立),但却能被攻击者利用:无需知道手机的任何账号密码,就能偷听上下行消息,甚至注入伪造消息让手机“信以为真”。SNI5GECT的核心,就是精准抓住这个窗口做文章。
二、SNI5GECT的核心突破:告别“伪基站”,做“隐形第三者”
传统5G攻击(如IMSI捕捉、信号劫持)大多依赖“伪基站(rogue gNB)”——攻击者搭建一个假基站,诱骗手机连接后再发起攻击。但这种方式有两个致命缺点:
- 复杂度高:需要强制手机断开合法基站、连接假基站,操作繁琐;
- 易被检测:伪基站会持续广播MIB(主信息块)、SIB(系统信息块)等信号,很容易被运营商的入侵检测系统发现。
SNI5GECT则完全不同:它不做“假基站”,而是以第三方观察者的身份插入合法通信链路中,实现“被动嗅探+主动注入”的组合操作:
- 被动嗅探:悄悄监听手机与合法基站的认证前消息,实时解码内容并跟踪协议状态(比如手机当前处于“RRC建立请求”还是“注册请求”阶段);
- 有状态注入:根据跟踪到的协议状态,在正确的时间点(比如手机发送“注册请求”后)向手机注入攻击 payload——由于注入时机精准,手机会误认为消息来自合法基站,从而执行恶意指令。
用一句话总结:SNI5GECT把5G攻击从“强行绑架”(伪基站)变成了“精准投毒”(第三方注入),隐蔽性和实用性大幅提升。
三、拆解SNI5GECT:6大组件如何协同工作?
SNI5GECT的架构围绕“同步→嗅探→跟踪→注入”的流程设计,核心包含6个组件(参考文档中的Figure 2),每个组件各司其职,缺一不可:
1. Syncher(同步器):攻击的“时间基准”
要嗅探和注入5G信号,首先得和合法基站“对表”——Syncher的作用就是与目标5G基站实现时间和频率同步:
- 它会像手机一样搜索基站的SSB(同步信号块),提取PSS/SSS(主/辅同步信号),校准时间偏移和载波频率偏移(CFO);
- 解码PBCH(物理广播信道)中的MIB(主信息块),获取基站的帧号、SSB索引等关键信息,为后续解码打下基础;
- 为了保证实时性,Syncher会以最高线程优先级运行,避免错过任何一个5G时隙(slot)——5G通信对时序极敏感,丢一个时隙就可能错过关键消息。
2. Broadcast Worker(广播处理器):找“连接钥匙”
同步后,需要获取基站的“连接规则”和“新手机信号”:
- 解码SIB1(系统信息块1):SIB1包含基站的上下行配置、随机接入参数等,没有它就无法解码后续的手机-基站通信;
- 检测RAR(随机接入响应):当新手机发起RACH请求时,基站会回复RAR,其中包含RA-RNTI(临时标识符)——Broadcast Worker一旦抓到RAR,就会启动一个UETracker实例,专门跟踪这个新手机。
3. UETracker(UE跟踪器):攻击的“总指挥”
每个被检测到的新手机,都会对应一个UETracker实例,它是“嗅探”和“注入”的协调中心:
- 接收Syncher同步后的时隙数据,分发给下属的“解码工人”(UE DL Worker和GNB UL Worker);
- 分析解码后的消息,判断当前的协议状态(比如“RRC建立中”“注册请求后”);
- 若达到预设的攻击触发条件(比如在“注册请求”后),就调用GNB DL Injector注入攻击 payload。
4. UE DL Worker(下行解码器):听“基站说话”
负责解码基站→手机的下行消息:
- 用SIB1中获取的CORESET(控制资源集)和搜索空间配置,在每个下行时隙中搜索PDCCH(物理下行控制信道);
- 从PDCCH中解析DCI(下行控制信息),获取PDSCH(物理下行共享信道)的资源分配、调制编码方案(MCS)等;
- 根据DCI解码PDSCH,得到基站发给手机的原始消息(如RRC建立消息、认证请求),再用WDissector库解析协议状态。
5. GNB UL Worker(上行解码器):听“手机说话”
负责解码手机→基站的上行消息,这是个技术难点:
- 5G上行有两种波形(CP-OFDM、DFT-s-OFDM),且FDD模式下上下行频率不同,时序也不同步;
- 解决时序问题:基站会通过TAC(时序提前命令)让手机提前发送信号,确保信号能准时到达基站——GNB UL Worker会利用TAC校准时间偏移,避免因时序错位导致解码失败;
- 解码PUSCH(物理上行共享信道):通过UE DL Worker解析到的“上行授权”(DCI中的UL grant),获取手机发送的消息(如RRC建立请求、身份响应)。
6. GNB DL Injector(下行注入器):“投毒”执行器
这是发起攻击的最后一步,负责把攻击 payload 伪装成基站消息发给手机:
- 生成伪造的DCI和PDSCH:注入器会自己生成DCI(包含调度信息),把攻击 payload 编码到PDSCH中;
- 解决“信号碰撞”:如果注入消息和基站消息在同一时隙发送,可能会冲突——注入器会在连续5个时隙中重复注入同一消息(共5ms),还会在第二个时隙复制80%的样本,干扰基站消息,提高手机接收伪造消息的概率;
- 时序校准:通过离线测试提前获取不同距离下的“注入延迟偏移”(比如20米内偏移值基本不变),确保伪造消息能准时到达手机,避免被CRC校验拒绝。
四、SNI5GECT能发起哪些攻击?实测数据说话
研究者用5款商用手机(一加Nord CE 2、三星Galaxy S22、谷歌Pixel 7、华为P40 Pro、Fibocom USB调制解调器)和两种基站(开源srsRAN、商用Effnet)做了测试,验证了三类攻击的有效性,部分攻击成功率甚至超过90%。
1. One-Shot攻击:一次注入就能见效
这类攻击只需注入一条消息,手机就会立即响应,典型场景包括:
- 5Ghoul调制解调器崩溃攻击:注入畸形的RRC(无线资源控制)或RLC(无线链路控制)消息,利用5G调制解调器的固件漏洞让其崩溃。
- 注册拒绝降级攻击:在手机发送“注册请求”后,注入“N1模式不允许”的注册拒绝消息,强制手机从5G降级到4G。
2. 需响应的One-Shot攻击:获取用户身份
典型场景是SUCI指纹识别攻击:
- 5G中,手机的永久身份SUPI(签约永久标识符)会加密成SUCI(签约隐藏标识符)传输,攻击者注入“身份请求(Identity Request)”消息,手机会返回包含SUCI的响应;
3. 多阶段攻击:新发现的5G降级漏洞(CVD-2024-0096)
这是研究者用SNI5GECT发现的新攻击,已被GSMA(全球移动通信系统协会)认可并分配CVD编号,攻击步骤如下:
- 嗅探合法认证请求:捕获基站发给手机的“认证请求(Auth. Req.)”消息;
- 篡改并重播:修改消息中的序列号(SQN)为无效值,然后重播给手机;
- 触发UE防护机制:根据3GPP协议,手机收到无效SQN的认证请求后,会返回“认证失败”,并启动T3520计时器——若计时器到期前认证仍失败,手机会拉黑当前5G基站;
- 持续干扰:SNI5GECT持续重播篡改后的认证请求,阻止基站重新发起认证,直到T3520到期;
- 强制降级:手机拉黑5G基站后,会自动连接同MCC/MNC(移动国家/网络代码)的4G基站,若没有4G则长期无法连接5G。
五、SNI5GECT的“短板”:哪些情况它搞不定?
尽管SNI5GECT能力强大,但并非无所不能,研究者也坦诚了其局限性:
- 仅支持5G下行注入:目前只能对5G手机发起下行注入,无法支持4G(未来可扩展),也不能注入上行消息(需优化DCI搜索);
- 认证后阶段无效:认证完成后,手机与基站的消息会加密,SNI5GECT注入的未加密消息会被手机直接忽略;
- 距离限制:20米内攻击效果最佳(注入成功率83%-95%),超过20米后信号强度下降(RSRP从-21.55dBm降到-8.95dBm),成功率明显降低;
- 无法跟踪已连接手机:只能从手机发起RACH请求时开始跟踪,若手机已连接基站(post-RAR状态),SNI5GECT无法获取其RNTI,也就无法嗅探;
- 不能定向攻击特定手机:靠RNTI跟踪手机,但RNTI是随机分配的,无法通过RNTI区分手机型号或用户,无法精准攻击某一部手机。
六、对5G安全的启示:是威胁,更是研究工具
SNI5GECT的出现,对5G安全领域既是挑战也是机遇:
- 威胁层面:攻击者可在机场、电梯、隧道等“信号易断区域”(手机频繁重连)部署SNI5GECT,利用认证前窗口发起攻击,比如降级到4G窃取IMSI,或让手机调制解调器崩溃;
- 研究层面:作为开源框架(https://github.com/asset-group/Sni5Gect5GNR-sniffing-and-exploitation),它为安全研究者提供了“低成本测试5G安全”的工具——无需昂贵的商用设备,就能验证5G手机的漏洞,发现新攻击(如CVD-2024-0096);
- 防御层面:它暴露了5G认证前阶段的安全短板,推动运营商和手机厂商优化防护:比如缩短认证前窗口、对认证前消息增加轻量级完整性校验、提升调制解调器对畸形消息的容错能力。
更多参考: