美国当地时间8月9日，DEF CON 27大会在拉斯维加斯开幕。百度安全高级研究员Xiao HuiHui、Zheng Huang、Haikuo Xie、Ye Zhang为现场全球极客们带来了题为“All the 4G Modules Could be Hacked”的Keynote演讲，展示了百度安全在4G和AIoT领域的最新研究成果，揭示了当前“4G通讯模块均可被攻陷”的安全风险。该议题也同时入选刚刚结束的另一顶级全球安全会议Black Hat。

图 | 百度安全在DEF CON 27大会展示研究成果

1、理解4G通讯模块：并非只是收发设备？

基于IOT设备对互联网访问的需求，4G通讯模块正在被广泛应用于各类如4G 随身Wi-Fi、4G路由器、自动售货机等物联网设备，智能电网、远程抄表等工业设备，以及车辆的车载信息系统和无人驾驶系统当中。但是，来自百度安全的研究却显示，市面上主流的4G通讯模块几乎在Linux系统安全、远程管理服务、OTA升级、系统监听程序、AT指令解析等各个功能部分中都存在高危漏洞。借助这些漏洞，不法分子可以获取这些设备的管理权，植入攻击后门，最终威胁IoT设备安全。

通常，大家认为4G通讯模块只是一个类似蓝牙、Wi-Fi传感器的无线信号收发设备。但实际上，4G通讯模块通常是一个完整的计算机系统，包含ARM处理器、内存DRAM、NAND Flash存储器和其他芯片组成的硬件系统，以及Linux 或者 RTOS的软件操作系统。由于嵌入式Linux系统通常存在很多系统漏洞，利用这些漏洞不法分子将得以攻击4G通讯模块，例如在同一个热点下攻击某些监听端口，最终控制设备。

更有趣的是，由于4G通讯模块这类硬件设备的特殊性（蜂窝移动网络设备），蜂窝网络自身的一些安全风险也可被利用，通过扩展攻击面，带来更广泛的攻击方式，更高风险的攻击效果。

2、多个攻击面并存：一次攻击“全线”沦陷？

在实际的测试过程中，百度安全的技术专家们发现4G通讯模块大多“天然支持”2G GSM网络，而GSM存在设备无法验证基站的有效性的问题。利用这个安全问题，通过搭建2G伪基站，从而完全控制设备网络，例如访问模块开放端口、获取并控制与云端的连接等。通过这种方式，附近的4G通讯模块将可被“有效攻击”。

同时，当前运营商网络存在配置错误风险也构成了另外一个扩展攻击面——由于缺乏有效的网络隔离，导致设备可以轻易地通过10或者172内网网段进行互访。如通过挖掘出一些4G网络模块基于端口服务的漏洞，或通过扫描例如SSH、ADB、Telnet的远程管理服务，远距离对同网段其他client进行远程攻击。

此外，一些使用量广泛的IoT设备以及汽车上TBox通讯模块，都使用了Private APN网络。利用Private APN，厂家client设备直接通过4G接口连入到了厂家内网（内网网络中均为同一厂商或同一型号的设备），实现类似空中VPN的效果。而在借助某些方式连入Private VPN并找到对应设备的漏洞后，便可以实现对该厂商所有硬件设备的攻击，例如完全控制一个品牌的汽车。

3、安全隐患普遍存在：5G时代该如何应对？

在漏洞挖掘的过程中，百度安全的技术专家们进行了覆盖4G通讯模块各个功能系统的大量逆向分析工作，结果同样令人担忧——几乎每个功能系统都存在高危风险，这些风险来自于基带厂商、4G通讯模块生产商、通讯盒子（例如TBox）生产商、以及最终产品使用方（例如汽车厂商）。

例如，部分基带厂商的操作系统存在远程命令执行，部分模块厂商的FOTA更新服务的Client和Server端存在远程高危漏洞，以及很多TBox厂商的远程命令执行漏洞。如果这些漏洞与上述扩展攻击方法“结合”，则会让对4G通讯模块的攻击变得非常“简单灵活”，不论是在远程还是本地，均可实现有效攻击。而类似的问题，也存在于5G的通讯模块中。

当然，面对几乎无孔不入的安全风险，百度安全的技术专家们也提出了应对之策：

首先，设备厂商需要了解相对隐蔽的攻击面中所存在的漏洞——事实上，大多数厂商并不清楚4G通讯模块中所“附带”的完整操作系统。

其次，针对4G通讯模块进行有效的安全分析和测试，启用防火墙系统——在测试中，大部分4G通讯模块都没有启用防火墙系统，这也导致了其漏洞端口可被轻易攻击。

声明：本文来自百度安全实验室，版权归作者所有。文章内容仅代表作者独立观点，不代表士冗科技立场，转载目的在于传递更多信息。如有侵权，请联系 service@expshell.com。