找回密码
 加入我们

QQ登录

只需一步,快速开始

搜索
查看: 8275|回复: 2

[写号相关] 解决新卡第一次用UIM卡呼出后,写AKEY到6950失败的问题

[复制链接]
发表于 2008-12-14 00:30 | 显示全部楼层 |阅读模式
解决办法
9 f9 n6 H$ k2 M2 `$ W1 ?) s7 w7 u% s
1,参考深圳地区,原10010话务员接到用户反应手机无法正常呼叫后,在业务系统进行交换机( q5 }( M% r6 a% l/ W
更新(刷新)操作(实际上就是系统主动发起SSD更新),用户再次开关手机解决。# ]! a$ y$ r9 f6 k7 t3 n1 O
: B! {7 W/ Q  c' X; J6 p
2,在系统查到现在的SSDA,SSDB也写入手机。
, C- c% }. ?, M+ h1 E' J+ b6 o+ J. V% F8 s. B& o
具体到6950,不要再使用UIM卡,确认只有这台同样号码参数6950在使用,重写AKEY,将SSDA,SSDB写0$ b2 c/ V8 O' s
开机后到通信管理器关闭手机功能(不是关闭整个手机),打电话到10000号投诉手机无法正常呼叫
$ A1 i6 t2 H  M使用,确认话务员做了操作后(有时话务员什么都没做就叫你开关手机),在通信管理器打开手机功能,
' `& y) S8 s8 K( ^: c呼叫两次以上应该就可以了。- P! z4 }9 _4 ^. G6 M" |# r

. r7 D" K/ k& c5 y* V; n: {( E6 Z4 [7 e) `
6 Q+ I  q  b% c3 a

; G' S7 k% E4 {4 q* c2 V! n& P9 A# H% U. k) [/ J
- {0 r. C1 }  f; [$ B0 {1 V
下面说说为什么会这样。' ]7 U; S6 b# m) r7 I
. M! [7 X/ q; P$ p( K/ F  B( N, G
4 n0 Q1 Y  {7 p8 m+ o; N
       首先说明,CDMA的鉴权并不是直接用AKEY进行的,而是由AKEY和随机数生成的临时鉴权参数' i' a7 c; b3 A, G% y8 P% X5 M1 X: [
SSDA进行一般呼叫鉴权,AKEY只参与SSD的生成,被用到的机会非常少,,而SSDA用于一般鉴权,/ u/ W- f( ]1 e9 Z9 K
相对被跟踪,暴力攻击破解的机会就很多,当网络进行一般鉴权失败时,当某次使用SSD的一般( r2 c" Q& B2 c; S2 H0 ^* {
鉴权失败时,应该认为SSD已经泄密,系统自动启动基于AKEY的SSD更新过程,更新无卡手机内SSD7 S& O4 s! w' H% g. [
或UIM卡内的SSD(对于网络是没有区别的),当新开的UIM卡未使用时,SSDA,B都是0,第一次打电
& v- ^' e! G5 e4 j% ~$ D* z, `话后系统会启动SSD的更新,将UIM卡的SSD改为不是0的随机数,之后使用SSD进行一般性的鉴权,2 e2 Y" i- _( }& M
标准来说,SSD应该定时(一星期左右)由系统发起更新一次,或者在某次基于SSD的呼叫一般鉴权
8 R( Z9 L0 K0 l, b7 P" q1 T# ~( Q失败后立刻进行基于AKEY的SSD更新过程。
' P' w% h2 `# e
: s8 Z, Y: {: e5 O5 c   现在我们开新卡后,SSD是0,如果你把卡直接装手机打过电话后,UIM内的SSD就
' J+ E0 d+ C3 J8 B- j- G- i% L被更新了,此时再将AKEY写入无卡手机,SSD写0时就与系统保存的更新过的SSD
- p+ v+ o6 s4 {不同,这样无卡手机基于SSD的呼叫一般鉴权肯定失败,之后标准协议要求系统1 m5 q# D" \( Y- [+ p
应该在第二次呼叫时启动基于AKEY的SSD更新过程,如果AKEY正确,SSD将被同时
+ a  y& e6 {( x更新到系统和手机内,系统和手机内SSD将一致,所以第二次呼叫之后都能正常
: Z' I3 z; A4 ]+ y' m. N$ x' l" H
0 L2 B8 l0 p' w& l0 ?; N   以上是正常的标准协议过程,在大部分地区都是这样的,在深圳测试两台同样的
( R8 f& U' H/ d0 XAKEY手机SSD全0,第一台正常呼叫后,第二台再呼叫时,因为手机内SSD此时已经不同
1 D# f$ o# L: D1 ]: k6 k1 }, q所以第一次呼叫不成功,第二次呼叫时系统启动SSD更新,之后第二台能正常使用,
; Z2 F# G- Y  b- D( t+ }4 f: |. G此时再用第一台呼叫,因为SSD只更新到第二台手机上,所以第一台手机第一呼叫
5 q: Q) X' p. K2 F' x+ X也不成功,第二次呼叫后正常,只要轮流使用手机,此现象就轮流出现。
; W0 e( Z4 R; e8 o' a8 x, m$ ^! Z  r2 S0 N( o" j1 J' J
. e. p* y3 a/ V3 y9 g* Y9 a
+ K2 v: D1 e1 w8 g
   现在的情况是,
' z  L/ l$ r/ ^, f! N, o- m- u1,因为更新SSD会耗费系统资源,' f8 B6 w( d( \, X
2,各地都有鉴权中心,原来联通一直未很好解决漫游两地SSD更新交换数据问题,手机+ f6 R% E. a2 B! z. {
在外地时如果一次鉴权失败(例如呼叫鉴权手机掉电,信号不好,交换不成功),启动SSD更新,
. n# t% t/ j/ E8 ?因为两地交换数据的问题,异地更新不成功,此时机主在回原地之前都不能使用手机。/ w' k* B/ {; m+ j% H& U$ ]7 r1 J8 I

! T/ n" M, S; U" f- m1 K2 S联通不好好正面解决这个问题,而是偷懒,所谓网络优化,去掉了异地甚至本地使用SSD的一般
$ N$ i1 |  P6 E% b9 Z0 |/ O鉴权失败后的基于AKEY的SSD更新过程,甚至去掉了定时更新SSD过程,只在新开户,换卡,投诉
" M6 N( I$ P: z& F, g时进行SSD更新,系统实际降低到只依靠SSD进行鉴权,一直使用本是临时的SSD,把临时安全措施8 P+ c0 m: h" P
当长期安全措施,安全程度大打折扣。
+ ~4 _2 ]* W# X, V+ }+ L
1 D) L3 }; x8 ]$ D7 m就目前的情况就是,因为新卡第一次呼叫是在UIM卡上,所以SSD已经不是0
, _& ~) `9 R  m/ p,再将AKEY写入无卡手机后,SSD未知,系统又不启动基于AKEY的SSD更新过程,只进行1 d" r7 s. l  r8 V
基于SSD的一般鉴权,导致鉴权失败,号码被锁定到第一次呼叫的UIM卡上(只有这张8 T) }3 w, f' e! ^8 F* ~3 V& c5 e
UIM卡有正确的SSD)。' v% ?' C/ d* y

- @& N4 B( J6 l0 H$ i/ p% o2 C3 C6 Z8 u

0 c8 E8 a- J  w! X6 P     因为论坛里电信的人比较多,顺便谈谈对于这种所谓网络优化后的现实攻击方法(盗号)。0 n& l/ v. y" Q2 y0 H9 v2 _6 b# K( P7 N
一般的呼叫鉴权,鉴权算法我们看成一个黑盒,输入4个参数,2 c' e; e( S) n6 q
1,RAND,由网络发送到手机,标准协议应该每次都是随机数,但现实情况,大部分地区都是固定为0/ }/ l% F' F7 ~' i
2,SSDA,这个由AKEY临时生成,标准协议应该一般鉴权失败就更新,或定时更新,但现实情况,部分
2 ^: V( X* Y. i5 \$ e6 B3 b; y地区从来不更新,哪怕某次鉴权失败(意味着可能有并机无AKEY使用)。' ^. Q1 }+ E+ t1 A8 S( c" b
3,呼出时电话号码后6位数,呼入时MIN码后3字节
) }  N4 R  d; D( a" R* O4,ESN(UIM ID). ^+ H/ \8 |) y! O* i2 _
3 r; V8 Y2 g) {) _& `" }& C
得到 AUTHR,发送到鉴权中心,鉴权中心也有这4个参数,同样的鉴权算法,也计算出AUTHR与手机发来的
1 B* V  ]/ K, h  H! e' c. o$ v' AAUTHR比较一致时鉴权成功,可以继续通话。8 {3 v& r$ n. V7 n& {: Z, G; n4 F5 m
5 F+ [; \  D. `: F4 `7 h- K
在一个所谓的网络优化后的网络,由于参数1,2,4都固定了,% g$ r1 u6 h1 k
参数3意味你接听电话时也是固定不变,你播出电话时已知,上网#777时固定,2 o& L1 a1 c7 z  Q) g. I" x0 S9 Q! S% b
鉴权结果可以跟踪UIM卡数据得到(用串口调试器飞线到UIM 数据口捕获).% @. h# b$ F7 ^3 x+ B
& V% U3 v/ C, o- r" z: T% G
或者不用捕获,因为AUTHR只有3字节,而且这样的网络永远都不更新SSDA,所以3字节暴力攻击吧,很快就有结果了。6 f7 m2 l0 Q% O& r+ n: t/ `; Z; A
- r: @* {! D, x/ B/ [" P9 ?
" \# ]2 `: m0 U2 l9 b
现在你无需知道AKEY,SSDA,知道IMSI,ESN(UIM ID),8 w' c4 l9 G4 y; j) S
捕获常用的拨出号码,例如二次拨叫的IP,#777上网,银行服务电话,购物电话,的AUTHR,呼入的AUTHR,
6 g3 k2 ~' l7 H! s0 ^' m/ j& X' }# J7 G# ]8 f- }" r  t
做一个特别的无卡手机程序,在鉴权结果AUTH出来后做判断改为上面捕获的预设AUTHR/ N) h/ b* M! z; c2 b
就可以( v, x. h- z0 H
1,无限并机冒充原机拨打,冒充机主,银行电话,充值什么的..........不象那些网络电话,联通公司会出证明给公安局,证明这个电话( h6 G' m) L- l4 `8 [/ f" G
3 s0 _' |4 \& H& l" {0 e
就是你打的。5 @6 f9 a' ~4 F# s; d

$ `" n2 `* z, M2,做无限并机上网卡。7 C3 y" X$ U' q; b9 v
3,呼入时两个手机同时响,并机的等一会接听就可以窃听机主谈话。) U0 t, `$ Y! P; k+ }' Q* K) P0 S' Z

, O% i# A! y% }$ l哈哈,公布这些只是希望新电信尽快补上这些所谓的网络优化漏洞。
6 ]; ~, m4 @  F, K# Q( `5 j3 D& p5 M' k( B0 S  f
再说一个真实的曾经有的打电话没账单的漏洞,也许部分地区还有。
9 P+ W- P9 p: z2 |" p5 ~% ]8 K     前几年某地CDMA关闭鉴权的手机可以这样打电话没账单,( u5 A; P# W% ~1 t! z0 S
     5 ]8 Y& c8 J" t3 A; g3 K' F
     做两个同号关闭鉴权手机,先用A机拨免费10010等电话,通后不挂,立刻用
( l6 y% s0 ~; j( m0 j0 i% D     
% T* Y& w8 u/ L% Q     B机拨另一个电话(通常是国际长途),B机通后挂掉A机,B机可以继续通话,; r( r: X8 h% s, b4 q5 w1 K, V4 t, y
     % q) P: z8 ]; [1 E( l
     之后联通计费中心将没有这个呼叫的计费,等国际电话账单到了联通,也许& B& S; n3 r1 e( z, I8 h5 R' C1 M' o
     ( X; w5 A2 C( e% m4 T/ ?! K
     他能从其它地方查到这个电话是你的号码拨出的,但永远在计费中心都查不到
& d7 g- I4 \  z! {     
2 v# R+ g2 p% q9 I4 {- e     这个计费记录。
回复

使用道具 举报

 楼主| 发表于 2008-12-14 00:31 | 显示全部楼层
作者;cdmapcs
/ d& a+ M3 h! n原链接:http://www.diypda.com/viewthread.php?tid=46340&extra=page%3D1
回复 支持 反对

使用道具 举报

发表于 2011-3-10 10:11 | 显示全部楼层
我的问题和这个类似,akey正确写到手机里,可是呼叫却提示“没有开通这项业务”
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 加入我们

本版积分规则

QQ|Archiver|手机版|小黑屋|吹友吧 ( 京ICP备05078561号 )

GMT+8, 2025-4-2 16:55 , Processed in 0.240560 second(s), 16 queries .

Powered by Discuz! X3.5 Licensed

© 2001-2025 Discuz! Team.

快速回复 返回顶部 返回列表