9月11日，騰訊全球數(shù)字生態(tài)大會5G專場在云端舉辦。會上，騰訊安全科恩實驗室專家研究員amp;5G專家Marco Grassi發(fā)表了以《5G時代，保護百億終端設(shè)備安全》為主題的演講。Marco Grassi在演講中重點強調(diào)了終端設(shè)備規(guī)?；瘧?yīng)用于5G網(wǎng)絡(luò)帶來的安全問題，并公布了騰訊安全科恩實驗室最新研發(fā)成果——物聯(lián)網(wǎng)安全檢測工具IoTSeC，他介紹表示，IoTSeC可自動化分析掃描設(shè)備固件來發(fā)現(xiàn)安全漏洞。

相對于4G網(wǎng)絡(luò)，5G憑借高達100倍的數(shù)據(jù)傳輸速度，以及龐大的網(wǎng)絡(luò)容量，可為海量設(shè)備提供高度、低延時的服務(wù)。隨著技術(shù)應(yīng)用的不斷加快，5G給人們帶來的便利的同時，在各個應(yīng)用場景的網(wǎng)絡(luò)安全風險也在日益凸顯。云端會議上，Marco Grassi在專場現(xiàn)場通過無線接口遠程攻克了一臺5G手機，并在手機內(nèi)部實現(xiàn)任意代碼執(zhí)行。Marco Grassi表示，設(shè)備攻克之后，攻擊者可以進行更多惡意操作，利用安全漏洞進行攻擊。

面對海量設(shè)備數(shù)據(jù)的安全漏洞問題，Marco Grassi公布了騰訊安全科恩實驗室的最新研究成果——物聯(lián)網(wǎng)安全檢測工具IoTSeC，其可用于分析和掃描設(shè)備固件的安全漏洞，并輸出高可行性的檢測報告，便于用戶查找和定位設(shè)備安全漏洞，從而達到將漏洞修復或移除的目的。

以下為?Marco Grassi演講全文：

大家好，歡迎各位來參加我的講座。我是騰訊安全科恩實驗室的專家安全研究員/5G專家Marco Grassi。今天我會與各位聊聊5G安全的話題，為什么5G安全是極其重要的?并向各位展示我們在科恩實驗室里所做的最新的相關(guān)安全研究成果。

簡單介紹一下我自己。我叫Marco，來自意大利。目前我在上海的騰訊科恩實驗室工作。我的主要研究內(nèi)容集中在移動網(wǎng)絡(luò)、虛擬化以及固件分析領(lǐng)域。在這之前，我主要做過iOS/Android以及macOS相關(guān)的安全研究工作。我和我的朋友@qwertyoruiop曾今發(fā)布過yalu102，一個針對iOS 10.2的越獄。在科恩實驗室期間，我?共參加并獲得四次Pwn2Own比賽的獎項。另外，我還多次在Black Hat USA以及DEF CON上展示過我自己以及科恩實驗室的研究成果。

這是我今天演講的大綱，首先我會對5G和5G安全做一個簡短的背景介紹，并介紹為何當下5G安全變得格外重要。然后我會介紹科恩實驗室在5G領(lǐng)域與移動網(wǎng)絡(luò)領(lǐng)域的相關(guān)工作，展示我們研發(fā)的物聯(lián)網(wǎng)安全檢測工具IoTSec系統(tǒng)以及其在安全領(lǐng)域所發(fā)揮的作用。最后我以我們在5G安全領(lǐng)域的一個最新研究成果來結(jié)束今天的議題，我會展示如何在用戶無感知的情況下，遠程攻擊并控制一臺5G手機。讓我們開始。

因為前面的演講已經(jīng)介紹過相關(guān)的概念，讓我在這里再簡單地介紹一下5G。

5G是一個相對比較新的技術(shù)概念，我們可以認為它是終端消費者所能接觸到最新的通信技術(shù)變革。相比較于前代移動網(wǎng)絡(luò)， 5G可以提供最高100倍的數(shù)據(jù)傳輸速度，從而滿足終端用戶的多媒體數(shù)據(jù)傳輸需求。5G另一個極為重要的特性是其龐大的網(wǎng)絡(luò)容量， 5G網(wǎng)絡(luò)可以接入海量的設(shè)備并為這些設(shè)備提供服務(wù)，這對于當下廣泛部署的物聯(lián)網(wǎng)設(shè)備而言極其關(guān)鍵，因為物聯(lián)網(wǎng)設(shè)備的數(shù)量將遠超傳統(tǒng)移動網(wǎng)絡(luò)可容納的上限。

5G網(wǎng)絡(luò)的容量相較于前代網(wǎng)絡(luò)也增加了約100倍。因此未來移動網(wǎng)絡(luò)的圖景已經(jīng)非常清晰了，海量的終端設(shè)備和物聯(lián)網(wǎng)設(shè)備會首先連接到5G網(wǎng)絡(luò)，然后可能會進一步連接到互聯(lián)網(wǎng)。這就引出我們今天的主旨，我們必須保證這些海量設(shè)備的安全性。需要注意的是，連入5G網(wǎng)絡(luò)的設(shè)備不僅僅會是我們熟悉的終端設(shè)備，如手機等，同時也會有汽車、機器人、傳感器或者是某些關(guān)鍵基礎(chǔ)設(shè)施。此時，安全漏洞影響不再僅僅局限在數(shù)據(jù)竊取等場景，而是可能導致物理上的?系列后果，因此保證5G網(wǎng)絡(luò)的安全變得尤為重要。

對于未來可能連入5G網(wǎng)絡(luò)的終端設(shè)備和物聯(lián)網(wǎng)設(shè)備的數(shù)量，業(yè)界有不同的估計。不同的估計數(shù)字有所差異，但是它們基本都同意未來使用5G網(wǎng)絡(luò)的終端設(shè)備將達到數(shù)十億的規(guī)模，而使用5G網(wǎng)絡(luò)的物聯(lián)網(wǎng)設(shè)備更將是終端設(shè)備的20倍。問題的關(guān)鍵在于，為了使消費者，包括我們的用戶可以享受到5G網(wǎng)絡(luò)技術(shù)帶來的便利，我們不僅要保證

5G網(wǎng)絡(luò)的功能完好，同時也必須保證其是安全的。連接到5G網(wǎng)絡(luò)的不僅是你的手機，同時還有你的汽車、冰箱、安全攝像頭以及其他大量你沒有意識到但實際存在并且一直服務(wù)于你的設(shè)備，比如交通信號燈、傳感器、公共交通設(shè)備等等。那么主要的問題就是，面對如此海量的設(shè)備，傳統(tǒng)人工安全測試的方法就變得無法適應(yīng)這種規(guī)模的安全需求。

科恩實驗室從2016年開始就已經(jīng)開展移動網(wǎng)絡(luò)安全研究，我們的研究團隊包含了國際領(lǐng)先的技術(shù)專家。在享譽安全界的Pwn2Own比賽中，我們在移動網(wǎng)絡(luò)子項中獲勝，向世界展示了我們在這個領(lǐng)域的知識儲備與研究能力。我們也被邀請在包括Black Hat USA在內(nèi)的一系列的全球頂尖網(wǎng)絡(luò)安全會議上展示我們在移動網(wǎng)絡(luò)領(lǐng)域的研究成果，并收到了積極的評價。這表明科恩實驗室在移動網(wǎng)絡(luò)安全研究上有著強大的技術(shù)實力與資深的安全專家。但是就如我前面所說的，光有技術(shù)實力是無法完全解決5G網(wǎng)絡(luò)安全問題的，我們同時需要能在大規(guī)模范圍內(nèi)通過某種程度的自動化來提升其可擴展性。

總結(jié)來看，我們面對的難題是，如何在擁有數(shù)十億設(shè)備連接進5G網(wǎng)絡(luò)的同時，盡可能的保證它們的安全。因為設(shè)備型號和版本的多樣性，人工的安全檢測是不切實際的。就像人工智能領(lǐng)域一樣，成功的關(guān)鍵通常是結(jié)合專家的知識技能，與自動化的分析手段，從而得出超過我們的時間與能力局限的解決方案。為此，科恩實驗室開發(fā)了物聯(lián)網(wǎng)安全檢測工具IoTSec，在我們安全專家的設(shè)計下，其可以自動化的分析掃描設(shè)備固件來發(fā)現(xiàn)安全漏洞。

這是物聯(lián)網(wǎng)安全檢測工具IoTSec分析結(jié)果的示例圖。物聯(lián)網(wǎng)安全檢測工具IoTSec包含了科恩自研的業(yè)界頂尖的快速安全分析組件，在用戶上傳需要分析的固件后，其會自動化的提取固件的組件并開始分析。物聯(lián)網(wǎng)安全檢測工具IoTSec最終會輸出一份具有高度可行性的檢測報告，用戶可以定位其在設(shè)備上找到的所有漏洞，此時，用戶可以將檢測結(jié)果提交給設(shè)備安全的責任方，從而完成漏洞修復或者將漏洞設(shè)備從網(wǎng)絡(luò)中移除。歡迎大家訪問iotsec.tencent.com以免費試用物聯(lián)網(wǎng)安全檢測工具IoTSec。

在展示科恩實驗室最新的5G安全研究之前，我需要簡單的介紹下通常情況下針對5G設(shè)備的遠程攻擊是如何展開的。我們會有兩個主要的組件。軟件部分和硬件部分。在軟件部分中，我們會模擬實現(xiàn)基站，基站即移動網(wǎng)絡(luò)中負責網(wǎng)絡(luò)管理和無線信號交互的組件。而在硬件部分，我們通常需要一個可編程的無線信號組件，負責將軟件輸出轉(zhuǎn)換成5G的無線信號，從而實現(xiàn)與設(shè)備的交互。我們會在軟件部分實現(xiàn)我們對漏洞的利用。我們的利用向量會被調(diào)制成無線信號，并通過空中接口發(fā)送到設(shè)備，從而實現(xiàn)對設(shè)備的攻擊。這是攻擊過程的一個總覽。在設(shè)備被攻克之后，攻擊者可以竊取個人數(shù)據(jù)，或者監(jiān)聽電話，甚至將設(shè)備改造成間諜工具，從而實現(xiàn)實時監(jiān)聽。

科恩實驗室是少數(shù)幾個公開開展5G安全研究的團隊之一，今天我們希望能向各位演示我們最新的研究成果。我會演示如何通過無線接口遠程攻克市面上新款的5G手機，通過給手機發(fā)送攻擊向量，我們可以在手機內(nèi)部實現(xiàn)任意代碼執(zhí)行。我們是全球范圍內(nèi)第一個公開達成5G漏洞利用的團隊。整個利用過程非常隱秘，從用戶的?度完全察覺不到攻擊的發(fā)生。在實現(xiàn)手機內(nèi)的任意代碼執(zhí)行之后，如我之前所說的，攻擊者就有可能進行更多惡意的操作，比如數(shù)據(jù)竊取、電話攔截或者是監(jiān)聽設(shè)備的語音。讓我們來看這個演示。

如屏幕上所演示的，上面是我們用來構(gòu)建移動網(wǎng)絡(luò)的SDR軟件定義無線電設(shè)備。下面是我們要攻擊的目標5G手機。我們要演示的效果是，通過漏洞遠程修改掉手機的IMEI。IMEI是國際移動設(shè)備識別碼，是手機的唯一標識，相當于汽車的牌照。能夠修改IMEI意味著我們已經(jīng)可以在手機上實現(xiàn)任意代碼執(zhí)行?？梢钥吹绞謾C原來的IMEI是05395結(jié)尾的，我們會通過任意代碼執(zhí)行將其修改到41414141。首先我們要讓手機連接到我們的移動網(wǎng)絡(luò)中。一旦手機連接上來，我們就會發(fā)動攻擊，而手機上不會有任何被攻擊的表現(xiàn)。最后，我們查看手機的IMEI，可以發(fā)現(xiàn)它已經(jīng)被修改成了我們控制的值，證明我們已經(jīng)完成了代碼執(zhí)行。這個簡單的演示僅僅表達了一種可能性，事實上我們還可以通過相同的攻擊完成通話攔截、竊聽麥克風、數(shù)據(jù)竊取或者冒充機主發(fā)送消息等等更高危險的行為。這就是我們的演示內(nèi)容了，感謝觀看。

這就是我們最新研究成果的演示。更多關(guān)于產(chǎn)業(yè)安全的資訊歡迎關(guān)注“騰訊安全”官方微信公眾號以及小程序獲取。感謝各位的時間，謝謝。