ITBEAR科技资讯
网站首页 科技资讯 财经资讯 分享好友

GSM手机加密算法遭破解 严重威胁手机支付

时间:2010-01-11 16:44:35来源:互联网编辑:星辉

电影《窃听风云》中,窃听者吴彦祖使用GSM阻截器,只输入目标的手机号码,就能轻松进行窃听。一位年仅28岁的德国计算机高手很可能将银幕上的设想变成现实。

在2009年12月30日闭幕的“电脑捣乱者俱乐部”年会上,这位电脑高手宣布:他与一些密码破译行家联手破解了全球移动通信系统(GSM)的加密算法,破解代码已经上传至文件共享网站供下载。通过破解表,外加一个专用软件、一根天线、一套硬件,就可以实时破解密码,监听通话,而且这种设备已有现成的供应商。

英国《金融时报》强调,这一举动可能对全球80%移动电话通信构成安全隐患,令30多亿移动电话用户置身语音通信遭窃听的风险中。

GSM最初开发于1988年。目前,包括中国移动和中国联通在内的全球80%、约35亿部手机在使用这一技术。其中,中国的GSM用户在2008年最多达到了3.8亿。

-采用不安全的64位加密算法

“他破解GSM加密算法的方式,类似于穷举法。”中国科学院信息安全国家重点实验室副主任林东岱研究员告诉记者,GSM系统的加密算法被破解,主要原因是其采用的64位加密技术太简单和过时。

GSM采用的加密技术是在20年前设计的,曾一直被密码学界认为是不太安全的加密方式。对当时的计算机来说,虽然不可能用“穷举法”来将其破解,但随着计算机运行速度和存储空间的迅猛发展,原来需要几年、甚至十几年才能完成的运算,现在可能几秒钟内就可完成。

早在几年前,以色列两名研究者就发表论文,阐述了GSM移动通信系统所使用的算法存在缺陷。他们指出,一台配置了128兆内存和较大存储空间的个人电脑,不到1秒就能攻破GSM系统采用的加密算法。

-窃听在理论上能实现,但现实成本大

记者在网络上搜索发现,兜售“GSM阻截器”的信息并不少,而且叫价不高,三四百元就可以购买一套。

“窃听在理论上是能够实现的。”中国移动的一位技术人员说。如果要窃听谁的手机信号,可以与对方同处一个小区,拦截这个小区基站负责的所有信号,然后按照密钥实施“破译”。那么,目标手机所发出的一切信息,都会记录在“破译”出的一组数字中。窃听者需要做的,无非是从一串“1”和“0”中读出自己所需要的信息。

“尽管如此,普通的GSM用户不用担心自己的通话被人窃听。”北京邮电大学信息安全中心主任杨义先教授说。

GSM被称为世界上最为安全的通信技术之一,它在用户身份认证、用户权限和语音通信过程中都设置了密码。例如,GSM网的用户鉴权中心在用户每次使用电话时,会对用户的身份进行鉴别,以防止未注册的用户介入网络。运营商也会对语音通信进行加密。

杨义先说,虽然在理论上能够实现监听,但现实中,这种监听的成本相当大,一方面需要购买GSM拦截器;另外,还要熟谙破译密码的知识,需要有很多人的帮助才能实现。投入如此大的人力、物力来监听普通用户的通话,显然得不偿失。

-严重威胁手机支付和手机银行

不过,国家信息安全技术工程研究中心总工程师郭晓雷告诉记者,我国的GSM运营商目前在手机用户身份认证、鉴权方面采用的都是保密程度较弱的密码,而在用户语音通信方面根本没有采用加密的方式。加密算法被破解,即使不影响我国GSM手机用户的语音通信,但当GSM手机用户在支付和验证身份时,也可能会受到不法分子的潜在威胁。

继卡类支付、网络支付之后,手机支付、手机银行将成新宠。在麦当劳、星巴克、地铁站,手机支付已经不是梦想,甚至它的支付功能还扩展到了其他餐饮场所。在手机内部植入NFC芯片,用户能在乘公交车、轨道交通、出租车时,直接用手机刷卡扣费,进行小额消费。中国移动日前就推出活动,手机用户可以免费更换具有手机支付功能的SIM卡。

根据中国移动的统计,2009年上半年,我国手机支付用户总量突破1920万户,实现交易6268.5万笔,支付金额共170.4亿元。预计到2013年,移动支付的市场规模将达到8600亿美元。

小额的手机支付和大额支付的手机银行出现,使手机不再是一个简单的语音通信设备,而是成了一个功能强大的智能终端,互联网上存在的种种信息安全问题都可能在手机上出现。

“但相比互联网,移动网络的安全防范措施还比较薄弱。此次密码被破译就提醒了运营商在拓展手机业务的同时,对手机安全应该加强防范。”郭晓雷说。

郭晓雷还表示,用户使用手机支付和操作手机银行的过程中,储存在SIM卡中的机主身份信息会发至运营商,进行身份认证和权限认证。一旦认证的加密算法被破解,不法分子利用工具就会从中截获机主与运营商之间的确认信息,从而在不用获取手机SIM卡的情况下,非法获取储存在SIM卡中的机主身份信息。这样,不法分子就可以克隆出SIM卡,冒充机主进行支付和消费。

而一旦发生这样的情况,在目前的法律法规下,手机用户面对强大的运营商往往会显得力不从心。“这就像利用银行自动提款机的漏洞提取现金案件一样,随着手机支付的普及,迟早都会出现类似案件。”

“我认为,每笔手机支付金额不超过100元、累计消费不超过几千元,对于控制密码被破译产生的风险是最好的做法。”郭晓雷说,降低每笔手机支付的限额,可以降低这种风险。在英、美一些国家,GSM运营商在提供手机支付功能时,纷纷对大额支付采取了谨慎的态度。一般情况,手机支付功能只限于购买饮料、食品等小物品,以及在公共交通工具上刷卡。

更多热门内容
2026年光伏层压机选型指南:宇电自动化以技术品质赢得行业口碑
深耕光伏设备行业多年,宇电自动化始终专注太阳能层压机的研发、生产与迭代升级,不盲目参与低端市场价格内卷,而是聚焦产品核心性能优化与工艺革新。秦皇岛宇电自动化以技术为核心、以品质为依托,凭借稳定的设备性能与扎…

2026-06-26

欣旺达动力科技注册资本增至132亿 业务多元发展再获资本助力
天眼查App显示,近日,欣旺达动力科技股份有限公司发生工商变更,注册资本由约95.7亿人民币增至约132亿人民币,增幅约38%。 该公司成立于2014年10月,法定代表人为王明旺,经营范围包括软件开发及销售、…

2026-06-26

荣耀X80 Pro Max来袭:万级高亮屏配11000mAh大电池,6月26日开售在即
其中亮度方面,最高已突破到万级,轻松应对户外强光、反光等。续航方面,越来越多新机突破到万毫安大电池,从入门机到高端机均有,带来更持久的续航表现,助力新机户外使用。 荣耀新机已推出,机型为荣耀X80Pro …

2026-06-26

红魔游戏平板5 Pro携PC模拟器登场,自研引擎助力畅玩3A大作
IT之家 6 月 25 日消息,红魔游戏平板 5 Pro 今日官宣搭载第五代骁龙 8 至尊版移动平台 + 自研电竞芯片红芯 R4,升级红魔CUBE 擎天游戏引擎 3.0、升级 2K 144Hz 超分超帧并发…

2026-06-26

70千瓦移动发电车租赁指南:精准匹配场景需求,保障临时供电安全高效
原动机将燃料的化学能转化为机械能,其转速的稳定性通过调速系统进行精准调节,这是保障输出电流频率恒定的首要前提。在临时活动、小型工程维护或作为应急预案等场合,恰如其分的功率匹配能有效避免设备长期低负载运行造成的…

2026-06-25

自动雨量站:太阳能驱动全天候监测,精准数据助力多领域防灾减灾
自动雨量站是基于物联网技术打造的现代化智能降水监测设备,整体由光学雨量传感器、数据采集器、太阳能供电系统及立式支架组成,结构集成简洁、安装部署便捷,适配户外长期野外监测场景。设备采用太阳能供电模式,可实现全天…

2026-06-25

VGN蜻蜓3大师版GT无线电竞鼠标评测:传感器升级,手感与性能再上新台阶
VGN蜻蜓3大师版鼠标我们之前也有过评测,这款鼠标可以说是VGN多年来最具里程碑意义的型号,全新的轻量化内骨架设计,在整体结构平衡了配重的基础上横向提供了两侧6点位支撑,按键盖板也采用了金属轴结构末端弹簧预压…

2026-06-25

企业上网行为管理新选择:五款审计软件助力关键行为可追溯数据有保障
图纸外泄却查不到源头,这并非个例,隐患全藏在网络里。 很多企业开始重视上网行为管理,真不是想盯着员工,而是办公数字化后,关键行为都发生在电脑里,访问网站,传输文件,打开图纸,上传资料,使用聊天工具,一旦缺了记…

2026-06-25