臺科大資工系教授揭露開源5G新風險，得小心駭客打造惡意基地臺發送偽造簡訊

當5G愈來愈普及，5G網路的資安風險愈不容忽視，臺科大資工系教授，同時也是數位發展部資通安全署副署長的鄭欣明帶領5G研究團隊，利用開源軟體在實驗室建立5G網路環境，他指出，開源軟體讓任何人可以實作5G網路，但是駭客同樣可透過開源軟體建立惡意基地臺，假冒合法基地臺取得用戶手機的裝置資訊，定位追蹤使用者或是發送惡意簡訊，或是上傳惡意程式至O-RAN近前端元件，佔用網路資源達到癱瘓網路的目的。

鄭欣明指出，過去電信網路設備是在專門的硬體或晶片上運作，以提高網路的速度、服務品質，但在進入5G之後，有志之士根據5G規格，開發軟體將5G的協定實作出來，並且開源出來，任何人可以下載這些開源軟體，只要搭配適合的無線電硬體，就能實作出5G基地臺。

開源軟體加上硬體，實作出5G網路環境，包括基地臺、核網，不只5G NSA網路，還有5G Non-Public Network，也就是專網。鄭欣明帶領的研究團隊，他們利用開源軟體搭配合適硬體，在實驗室內實作搭配MEC邊緣運算的小型5G智慧專網，因為經費不足以購買真正的機械手臂，實驗團隊以樂高組合機器手臂，利用這個小型的實驗專網控制手臂。

「5G基地臺搭配MEC，就能實作出智慧專網，這些都能透過開源軟體實現」，鄭欣明說。研究團隊以軟體定義無線電SDR技術實作O-RAN，建立5G O-RAN專網環境。有心人士也能以開源軟體實作5G基地臺，再根據電信業者的網路環境作調校，偽裝成合法的基地臺，對用戶發動攻擊，稱為偽基地臺（Rogue BS）的攻擊。

由於採用免費的開源軟體、搭配數萬元臺幣的硬體，就能建立惡意5G基地臺，和數百萬元售價的電信等級基地臺相比成本降低許多，雖然以SDR打造的基地臺穩定度無法相比，但鄭欣明認為，SDR技術讓偽基地臺攻擊手法實現成為可能，只要通過軟體定義便能控制偽造基地臺的功能。

惡意基地臺可偽造簡訊，甚至發送假的國家級警報

目前國內5G服務為5G NSA非獨立組網架構，也就是5G服務和現有的4G網路依存，當用戶使用5G時，手機與行動網路的信令溝通（Control Plane），仍是依照4G eNB基地臺，傳送到4G核網，只有數據傳輸（Data Plane）時才使用5G gNB基地臺。換言之，既有4G在信令層安全問題仍存在5G NSA網路。

舉例來說，一般手機內的SIM卡，每張SIM卡都有獨特的IMSI（International Mobile Subscriber Identity）及金鑰，當4G手機連接電信商的基地臺，再連到後方的核心網路，SIM卡和電信商網路之間就會確認IMSI及金鑰，通過多向的交握過程，相互驗證彼此身分，SIM卡需驗證所連接的電信商網路是合法的，電信商網路也要驗證SIM卡的合法性，這個過程稱為Authentication and Key Agreement（AKA）驗證。

但是當惡意的基地臺偽裝為合法的基地臺，相比電信商的合法基地臺，攻擊者讓偽基地臺更接近用戶，當用戶的手機偵測到新的基地臺，會誤認為使用者移動到新的基地臺，因偽基地臺更接近用戶，在取得較佳行動網路訊號下，用戶的手機會自動和偽基地臺連接。然而，偽基地臺無法連接電信商網路進行AKA驗證，因此惡意基地臺和用戶的手機連接，會利用進入AKA驗證之前的程序進行攻擊，而在AKA驗證之前，訊息傳送為明文進行。

如此一來，惡意基地雖無法連接電信商網路，但仍可傳送訊息「欺騙」用戶手機，鄭欣明指出，例如偽造的惡意基地臺回報該手機未通過暫時性的IMSI驗證，取得手機裝置真正的原始IMSI，再透過種種方式追蹤該支手機的位置，或是發動Dos阻斷服務攻擊，讓這支手機誤以為沒有通過驗證，無法連接特定區域的電信商網路，暫時無法通話。

鄭欣明指出，這是協定設計上的錯誤，在手機與基地臺進入AKA驗證程序之前，手機預設相信基地臺回傳的訊息，不論是合法或惡意的基地臺。

甚至，可以傳送偽造的訊息至該手機，側如假冒電信商的名義發送簡訊給手機，告訴該名用戶為每月發送的測試訊息，或是發送假的國家級警報，以假亂真，警報內容可以隨意偽造，並附上偽造的連結。

鄭欣明表示，惡意基地臺偵測並不容易，使用低成本發射裝置改造的惡意基地臺，和電信商採用的電信等級基地臺，可以偵測訊號的穩定度，作為辨別惡意基地臺、電信基地臺的依據，但因為用戶手機已收到惡意基地臺的訊息，多屬於事後的偵測，如何在事前偵測惡意基地臺是一項挑戰。

O-RAN存在安全風險

至於O-RAN也存在安全風險。鄭欣明指出，為了能在靠近資料的前端快速作AI運算處理，O-RAN在O-CU的Near RT-RIC上，可部署第三方開發的xApp或rApp應用，加速地端資料的分析應用，O-RAN在較靠近基地臺的前端部署聰明的元件，蒐集當下的資料進行運作，以提升資源的管理、服務效能，但是此一設計產生新的連接介面、元件，連帶衍生出連接介面是否安全，以及這些元件間彼此是否經過驗證授權等問題

例如開放第三方上傳xApp到RIC，雖然能改善資源使用、服務效能，但如果有心人士上傳惡意的xApp或rApp應用，利用Fork bomb耗用網路的資源，進而降低效能。鄭欣明表示，目前上傳xApp並沒有檢測機制，為了防範惡意的xApp或rApp攻擊，建議可以檢測其程式碼，或是對其行為偵測機制，或是其他人建議建立安全、可被信賴的xApp市集。

鄭欣明表示，5G確實因開源軟體能夠實作很多實驗環境，實現Open-RAN，但也存在一些安全風險，例如惡意基地臺攻擊，利用規格設計的失誤，對公眾產生影響，這些是5G NSA的風險，直到5G SA架構，在規格的選項之一是加強信令簽章，才比較改善這個風險。另外，在O-RAN的環境下，雖可透過第三方應用優化網路效能，但也不能相信所有的xApp是善意的，必需建立檢測機制，預防惡意xApp。