腾讯和清华的最新研究：利用“长度侧信道”绕过5G/4G/WiFi网络的加密

Author: Guancheng Li of Tencent Security Xuanwu Lab

在当今数字化时代，5G、4G和Wi-Fi等无线通信技术已成为我们日常生活的重要基础设施。这些网络普遍采用先进的加密协议，理论上能够有效保护用户通信安全。然而，近期由我们腾讯玄武实验室与清华大学陈建军老师团队在EuroS&P 2025上发表的研究成果LenOracle揭示了一个新的安全隐患：攻击者可能将空口数据帧（radio frame）长度信息作为侧信道，在不破解无线加密的情况下劫持加密网络中的TCP/UDP连接。我们在真实的商用LTE网络和Wi-Fi环境中进行了测试，成功在TCP场景下利用该攻击向受害设备注入了一条伪造的短消息，并在UDP场景下污染了受害设备的DNS缓存，展示了该攻击对关键网络服务的潜在破坏力。

这是怎么一回事呢？无线网络的加密协议虽然可以阻止攻击者在物理层窃听通信内容或篡改、注入消息，但在传输层，如果攻击者掌握了四元组信息（客户端IP、客户端端口、服务器IP、服务器端口）以及序列号（SEQ）和确认号（ACK），仍可以通过发送伪造四元组的数据包，将任意数据注入到相应的网络连接中。这些伪造的数据包会经过互联网路由，最终被调制为空口数据帧并传递到受害者设备，从而间接实现对无线信道的消息注入。在实际情况下，攻击者通常难以获取四元组和序列号等关键信息。而我们的研究发现，如果将空口数据帧的长度信息与网络地址转换（NAT）的工作机制以及TCP协议的固有特性结合，是可以逐步推断出目标连接的四元组（源IP、源端口、目的IP、目的端口）以及关键的协议状态信息（如序列号和确认号），从而实现对网络中TCP/UDP通信的劫持。