在今年的网络与分布式系统安全研讨会（NDSS 2019）上，一个由多名安全专家组成的研究小组公开披露了会影响到4G和5G LTE协议的安全漏洞。据称，利用这三个漏洞，攻击者能够拦截受害者的手机通话并追踪其位置。

该研究小组在一篇题为《使用侧信道信息对4G和5G蜂窝寻呼协议的隐私攻击》的报告中指出，由他们新发现的漏洞允许远程攻击者绕过4G和5G所实施的安全保护措施，仅需要在短时间内呼入并取消多个通话，便可在不通知受害者设备的情况下发出寻呼消息，并借此追踪受害者的实时位置、记录其范围内所有手机，甚至是拦截通话和短信。

ToRPEDO：定位、DoS攻击、发送虚假寻呼消息

基于上述漏洞的第一种攻击方法被称为“ToRPEDO”，它是“通过寻呼消息分发进行追踪（Tracking via Paging mEssage Distribution）”的英文缩写，允许远程攻击者验证受害者设备的位置、注入伪造的寻呼消息，以及实施拒绝服务（DoS）攻击。

我们都知道，当设备没有主动与蜂窝网络通信时，其会进入空闲模式以节约电量，而当设备接收到来电或短信时，蜂窝网络首先会发送寻呼消息以通知设备来电或短信。需要注意的是，寻呼消息还包括设备的一个不常变换的值，称作“临时移动订阅者身份（TMSI）”。

研究人员发现，如果攻击者在短时间内呼入并取消多个通话，那么基站便会在发送寻呼消息时频繁更新TMSI值。因此，攻击者完全可以通过使用类似于Stingrays这样的设备来嗅探寻呼消息，进而可验证目标蜂窝用户是否在可拦截范围内。

研究人员表示，ToRPEDO会影响到4G以及当前版本的5G LTE协议。对于这一点，他们已经在三家加拿大服务提供商和所有的美国服务提供商身上得到了验证。

PIERCER和IMSI破解攻击

ToRPEDO攻击还为另外两种攻击——“Piercer”和“IMSI破解”攻击创造了可能性，导致目标设备的持久身份（即IMSI）完全恢复。由于设计上的缺陷，PIERCER（CorE netwoRk的持久性信息ExposuRe）攻击使得攻击者能够将目标设备的唯一IMSI号码与其电话号码相关联。

“一些服务提供商在寻呼消息中使用IMSI而不是TMSI来识别具有待处理服务的设备。”研究人员解释道。“通过一个简单的手动测试可以显示有给服务提供商的印象是可能有特殊情况发生，迫使其揭示受害者的IMSI。”

根据研究人员的说法，ToRPEDO攻击还使得攻击者能够捕获受害者的电话号码，进而通过发动暴力破解攻击、在4G和5G上检索受害者的IMSI号码。

需要注意的是，在得到IMSI号码之后，即使受害者的5G手机是全新的，攻击者也可实施上述攻击，以及使用类似于Stingrays和DRTBox这样的工具来窥探受害者的呼叫和位置信息。