移动安全实验室
菲律宾LTE/4G伪基站+GSM中间人攻击
—— 蜂窝网络中的“影子伪基站”威胁
深度分析 · 2026年7月4日 · 阅读约8分钟
#移动安全 #LTE/4G #GSM中间人
菲律宾作为东南亚移动互联网增长最快的市场之一,其LTE/4G网络覆盖率已超过80%,但GSM(2G)网络依然在偏远地区和物联网设备中广泛存在。这种双网并存的现状,为攻击者提供了可乘之机——通过“中间人”方式劫持LTE与GSM之间的信令交互,实施监听、篡改甚至账户劫持。本文将从技术原理、攻击链、真实风险场景以及防御策略四个维度,全面拆解菲律宾LTE/4G伪基站与GSM中间人攻击的深层机制。
? 核心观点: 尽管4G/LTE在认证和加密上大幅强化,但GSM的固有漏洞(单向鉴权、弱加密)与LTE回落机制(CSFB)的结合,构成了中间人攻击的理想跳板。攻击者可通过伪伪基站(IMSI捕获器)诱导用户设备降级至GSM,从而截获短信、语音甚至破解支付验证码。
1. 菲律宾移动网络现状:LTE与GSM的“双面人生”
菲律宾拥有Globe、Smart等主流运营商,LTE/4G已实现城市密集覆盖,但在岛屿、山区及农村地区,GSM仍承担着基础语音和低速率数据服务。根据菲律宾国家电信委员会(NTC)2026年Q1数据,全国仍有约4200万活跃GSM用户(含物联网SIM)。同时,大部分4G手机仍默认支持CSFB(电路域回落)以接听语音电话,这为降级攻击提供了温床。
| 网络制式 | 覆盖范围 | 主要用途 | 安全弱点 |
| LTE/4G | 城市、主干道 | 高速数据、VoLTE | 认证强(EPS-AKA),但信令暴露 |
| GSM (2G) | 偏远地区、物联网 | 语音、短信、低速率 | 单向鉴权、A5/1弱加密、伪伪基站易仿冒 |
| CSFB 回落 | 语音通话场景 | 4G到2G/3G切换 | 降级过程中可能被劫持 |
2. 中间人攻击的技术原理:从IMSI捕获到会话劫持
菲律宾LTE/4G伪基站+GSM中间人攻击,本质上是利用GSM协议的认证缺陷与LTE回落机制的组合攻击。攻击流程通常包含以下阶段:
- 阶段一:伪伪基站广播 —— 攻击者部署一个伪造的GSM伪基站(或LTE伪eNodeB),其信号强度高于合法伪基站,迫使附近手机发起附着或位置更新请求。
- 阶段二:IMSI捕获 —— 伪伪基站向手机发送“身份请求”,获取IMSI(国际移动用户识别码)或TMSI。在GSM中,此过程无加密保护,IMSI明文传输。
- 阶段三:降级诱骗 —— 若手机驻留在4G,攻击者可通过LTE信令(如TAU拒绝)或发送“回落”指示,诱使终端降级至GSM网络,从而进入攻击者的“监听域”。
- 阶段四:中间人劫持 —— 攻击者在GSM链路上作为透明代理,转发合法BSC与手机间的数据,同时窃听语音、拦截短信(包括银行OTP)。
// 伪伪基站常用信令交互(简化)
Mobile → FakeBTS: RACH (接入请求)
FakeBTS → Mobile: IMMEDIATE ASSIGN (分配信道)
FakeBTS → Mobile: IDENTITY REQUEST (请求IMSI)
Mobile → FakeBTS: IDENTITY RESPONSE (IMSI明文)
// 此时攻击者已获得用户永久身份标识
2.1 LTE/4G为何也“无法独善其身”?
LTE本身具备双向鉴权(EPS-AKA)和NAS加密,但攻击者并非直接攻破LTE加密,而是利用网络互操作漏洞。例如,攻击者向4G手机发送“只支持GSM”的TAU拒绝消息,手机便会在特定时间内尝试GSM附着。此外,部分菲律宾运营商为兼容老旧设备,仍保留GSM明文短信通道,这进一步放大了风险。
3. 菲律宾特有的风险场景:从诈骗到企业数据泄露
在菲律宾,基于GSM/LTE中间人的攻击已从单纯的技术演示演变为现实威胁:
- 金融欺诈:攻击者在大型商场、机场附近部署伪伪基站,截获用户手机号及银行交易短信,配合社会工程手段盗取资金。
- 政治/商业间谍:针对企业高管或政府人员的语音窃听,利用GSM A5/1加密的脆弱性(已被破解)还原通话内容。
- 物联网设备劫持:大量菲律宾的智能电表、自动售货机仍使用GSM通信,一旦被中间人注入恶意指令,可导致基础设施受损。
2025年,菲律宾某运营商曾披露一起大规模IMSI捕获事件,涉及马尼拉CBD区域数万台设备,所幸未造成严重损失,但已引起NTC的高度重视。
4. 防御策略:如何对抗GSM/LTE中间人攻击?
从个人、企业及运营商三个层面,可以构建纵深防御体系:
个人用户: 关闭GSM功能(如果手机支持VoLTE且仅使用4G/5G);使用基于应用的加密通信(如Signal、WhatsApp);警惕信号异常波动(如突然无服务再恢复)。
企业/机构: 为员工配发支持“仅4G/5G”模式的终端;部署SIM卡安全增强;对敏感短信采用二次验证(如生物识别)。
运营商: 逐步关闭GSM网络(菲律宾已计划2027年后退网);加强伪伪基站探测(基于RSSI异常、位置更新频率);推广VoLTE和加密信令。
4.1 技术加固:从网络侧阻断降级攻击
3GPP R15及后续版本引入了“用户设备能力检查”和“安全回退”机制,可限制终端降级至不安全网络。菲律宾运营商可通过升级MME(移动性管理实体)软件,对异常TAU请求进行拒绝并记录。同时,部署基于AI的信令异常检测系统,可实时识别伪伪基站的“身份请求”风暴。
5. 未来展望:GSM退网与5G安全增强
菲律宾已宣布将在2028年全面关闭GSM网络,届时中间人攻击的物理基础将大幅削弱。但短期内,LTE与5G NSA(非独立组网)仍可能依赖GSM/3G进行语音回落。因此,VoLTE/ VoNR的普及才是终结“降级中间人”的关键。同时,5G的强加密(256位密钥)和SUCI(用户隐藏标识)将有效防止IMSI泄露。
关键术语释义
- IMSI
- 国际移动用户识别码,全球唯一的用户身份标识,在GSM中以明文传输,极易被捕获。
- CSFB
- 电路域回落,4G手机在需要语音通话时临时切换至2G/3G网络。
- 伪伪基站 (Fake BTS)
- 模拟合法伪基站的设备,用于诱骗手机接入并窃取信息。
- A5/1
- GSM使用的流加密算法,已被证明存在严重漏洞,可被硬件破解。
总结:安全是动态博弈
菲律宾LTE/4G伪基站+GSM中间人攻击揭示了移动通信演进中“兼容性”带来的安全代价。虽然GSM终将退场,但“降级攻击”的思路仍可能出现在4G与5G的互操作中。对于网络安全从业者而言,理解攻击链的每个环节,并推动运营商、终端厂商、监管机构协同合作,才是应对此类威胁的根本之道。作为用户,提升安全意识、及时更新设备固件,亦是保护自身数字资产的重要防线。
作者: 移动安全研究团队 · 菲律宾网络威胁实验室
本文基于公开技术资料与实验环境分析