华为麒麟 950 芯片可抓出伪基地台，真的有这么厉害？

11 月 26 日，华为发表了基于麒麟 950 芯片的产品华为 Mate 8，在坊间各大网站对 Mate 8 的产品介绍消息中，有一条介绍比较特别：

“HUAWEI Mate 8 透过华为麒麟 950 芯片内建的辨识假基地台技术，可以在手机通讯底层，辨识所在基地台是否为假的基地台，从源头拒收假基地台简讯，而不只是简简单单的拦截。”

看来随着假基地台之害愈演愈烈，除营运商和手机安全 App 厂商不遗余力的封堵整顿治理之外，业界大老华为也在这方面花心思。

做为终端装置生产厂商，华为在介于营运商网络和手机 App 之间的设备端发力，凭借在通讯行业多年的积累和深厚的技术实力，肯定会对假基地台的审查防范发挥积极的作用，具体效果怎样有待观察。

但是，对麒麟 950 这个芯片级辨识技术，有几点小疑惑：

• 文章没有提及实现原理，只是突出“芯片级”的概念，（仿佛）超级厉害的样子。
• 照理说，芯片设计应该侧重运算能力、图形编解码能力、通讯基频协议支援、耗能比等底层基础功能，这种偏应用层面的功能需要在芯片层设计吗？
• 假基地台算是很有本土特色的通讯场景（编按：其实美国当地也不少），而麒麟 950 芯片的目标肯定是在全球范围内与高通骁龙 820 和三星 Exynos7420 一决高下。这款生而傲娇面向全球的旗舰产品，会特意为了本土化场景做特色优化和定制吗？
• 中国本土化定制过的芯片功能到了海外营运商相对纯净的网络下，特色功能会不会成为 BUG 一般的存在？

带着这些问题，笔者根据自身的经验来推测——

麒麟 950 芯片的这个芯片级防假基地台黑科技，到底多厉害？具体是怎样实现的防范假基地台？

 

假基地台是什么？

要防范假基地台，得先了解假基地台。

假基地台问题其实是 2G（GSM 网络）时代的遗留产物，GSM 网络中，因为手机连接基地台时有安全性验证漏洞，所以手机无法辨识连接到的网络是否合法。假基地台工作时，先透过技术手段获得所在地点小区基地台的无线资讯比如频率、电场、电信公司商标等，然后设定假基地台相应参数将自身伪装成合法的营运商基地台并发射大功率讯号。

当受害手机在行动过程中进行基地台切换时，可能因为合法基地台的讯号被干扰，假基地台讯号较强而切入并驻留到了假基地台上。此时，假基地台即可伪造任意号码发送诈骗短讯给受害手机，而受害手机则无法正常通讯。

这个 BUG 只存在于 GSM（也就是 2G）网络中，3G、4G 网络上已经做了升级修复。

但虽然目前中国已经全面铺开 4G 网络的建设，很多用户也都用 4G 手机开通 4G 服务，实际由于 4G 网络并不能做到全面覆盖，当使用者移动到 4G 未覆盖或者讯号不好的地方，手机还是会回到 2G 网络上，这就给假基地台有了可乘之机。

（Source：u 学派在线）

行动营运商在打击假基地台的过程中，主要方法是加强网络建设和网络覆盖，并透过技术手段监测热点地区无线网络质量打击假基地台。顺便说一句，中国移动之前宣传更换 4G USIM 卡防假基地台，理论上由于 GSM 网络的必然存在并不可信，实证也不可靠。

回到华为的手机装置层面，只要手机能审查出来哪些是假基地台，并在辨识出假基地台后，选择不连接、不驻留假基地台，则可以达到防范的目的。

关键点就是：

1. 辨识出假基地台。
2. 不连接驻留假基地台。

 

如何做到辨识假基地台并不驻留？

基于对无线网络和芯片接口的粗浅理解，推测可能是这样：

• 首先是辨识假基地台。判断是否是假基地台，必须基于对基地台基本讯息的分析，这些讯息诸如区域编号（CID）、无线讯号强度、营运商网络标识（MCC、MNC）、位置资讯（LAC）等。
• 一般芯片都会有各种设定控制连接埠，输出上述的各种讯息。如最常见的工程模式程式，就能够显示这些设定讯息（见下图）。
• 假基地台的参数可能与合法基地台的参数有较明显的不同，可以被辨识出来。具体这个判断过程，则不一定在芯片上实现。
• 辨识出假基地台后，就必须主动避开假基地台，这个才是关键。
• 一般的基频芯片都会自动完成网络注册和基地台切换的过程。麒麟 950 芯片可能有供外围电路调用的控制连接埠，用于控制基频做某些动作（比如切换基地台）。
• 华为自然会知道自家芯片有什么连接埠，也可以在芯片上增加连接埠，如上面的控制连接埠。
• 然后，华为只需要在驱动层用软件判断出假基地台，再发指令给芯片，控制基频不要在假基地台驻留。
• 核心的逻辑实现还是在驱动软件层，芯片提供讯息并接受指令。
• 基于华为在中国营运商方面的影响力，不排除华为从营运商处获得合法基地台数据库的可能。

▲ 各种底层资讯都是可以被取得的。

所以，很重要的一点就是，手机是否能做到不在假基地台驻留，不给假基地台发送诈骗短讯的机会——恐怕这才是实现这个功能的关键，也就是芯片级支扰的关键——芯片必须能接受软件指令控制基频完成动作。

不负责任推测：其实 Mate 8 的芯片级防假基地台功能不是什么太厉害的新科技，麒麟 950 芯片只是在芯片层增加了接收指令切换基地台的连接埠（甚至可能根本没有做变动，连接埠原本就有）。这个科技的主要功夫还是花在驱动软件上做调整。而针对不同国家出货的手机，只需更换包含不同驱动的 ROM 包，就可以避免水土不服特色变 BUG 的情况发生（毕竟芯片没法换，而软件可以任意改）。逻辑上推理，这应该是一个实际可行又可控，成本也不高的解决方案。

另外，依此再类推一下：

• 高通、三星、MTK 的芯片可能都有类似的切换基地台连接埠，只要愿意公开（或者早就公开过只是没被利用起来），小米、魅族、中兴、联想、酷派、锤子、加减乘除等品牌也都有“机片级”防假基地台功能了。只是市场宣传上，华为已经抢了先机。
• 还可以结合大数据的概念，将搜集到的假基地台特征数据上传服务器，再做训练和模式辨识，然后应用到手机端，突出云端防范的概念，马上又变得好了不起了。
• 不过真要能打出“芯片级支援”的牌子，有自家处理器说起来还是方便很多啊。

（本文由 雷锋网 授权转载）

延伸阅读：

• 遍布美国的神秘假基地台，可中途拦截手机讯号并入侵
• 手机鲜为人知的次系统可能隐含安全危机