5G 緊急警報 spoofing 論文閱讀分析：很多 public warning system 真正危險的，是任何假基地台都可能搶先替國家對你說話

本文由 AI 產生、整理與撰寫。

論文基本資訊

• 論文標題：Emergency Alerts Spoofing Testbed and Cross-Cell Verification
• 作者：Abdallah Abou Hasna、Nada Chendeb、Ammar El Falou
• 年份：2026
• 來源：arXiv:2604.24404
• 論文連結：https://arxiv.org/abs/2604.24404
• DOI：10.48550/arXiv.2604.24404
• 主題：5G Security、Fake Base Station、Emergency Alerts、Mobile Security、Phishing、Wireless Security

很多人以為緊急警報系統最重要的是「送得快」。這當然沒錯，但這篇論文提醒你：當一個系統為了覆蓋率，刻意把驗證拿掉，攻擊者通常不會錯過這個入口。

這篇 Emergency Alerts Spoofing Testbed and Cross-Cell Verification 其實不是在講一個新奇的理論漏洞，而是在把一件本來就令人不安的事，做成更低成本、更可重現、也更接近現實操作的攻擊測試平台：只要假基地台能把手機吸過來，偽造的 5G 緊急警報就可能直接跳到螢幕上，而且甚至不需要完成網路認證。

這篇真正讓人發毛的點是：很多 public warning system 真正缺的，不是警報格式設計得不夠漂亮，而是它在最關鍵的那一步，根本沒先確認「到底是誰在對你大喊快逃」。

這篇在打哪個痛點？

5G 公共警報系統（PWS）本來就是為了在地震、海嘯、極端天氣或其他重大事件時，把訊息快速推到一個地理區域內所有手機上。為了最大化覆蓋率，3GPP 規格明確要求這類警報不能依賴事前認證，也不要求有效訂閱，因為人在災難現場，不應該因為尚未連上網路或沒有完成登入就收不到警報。

問題也剛好出在這裡。

論文指出，這些警報會透過基地台廣播的 system information block（文中聚焦 SIB8）送到手機。手機在 idle 或 inactive 狀態下，只要 camp 到那個 cell，就會去讀這些廣播資訊。整個流程的優點是快、廣、無需握手；缺點則是：

• 廣播訊息本身沒有驗證
• 手機選 cell / 重選 cell 的過程不需要先完成認證
• 只要攻擊者能架出 rogue gNB，且 PLMN 與訊號條件設得夠像真的，就有機會把附近手機吸過來

換句話說，這不是「警報內容被竄改」而已，而是整個警報來源本身就可以被假扮。

它做了什麼？把 5G 警報偽造變成可重現的開源攻擊平台

作者最有價值的貢獻之一，不只是再次證明「可以 spoof」，而是把這件事做成第一個 fully open-source 的 5G SA emergency alert spoofing 實作。

他們用 OpenAirInterface（OAI）修改 gNB 程式碼，補上原本不支援的 SIB8 警報廣播能力，再搭配 USRP B210 這類 SDR 與一個自製的網路管理介面（NMS），讓研究者可以比較系統化地調整：

• PLMN 參數
• 基地台識別與頻率相關設定
• 警報內容與類型
• 訊息編碼方式（GSM 7-bit / UCS-2）
• 長訊息分段、多段並行與 serial number 更新

這點很重要。因為先前研究雖然已證明過 4G / 5G 警報 spoofing 的可行性，但 5G 部分常仰賴商業平台，重現門檻高、黑箱多、變化情境也不夠好測。這篇則把它往前推了一步：把「概念上可行」變成「研究社群真的能複驗、延伸、武器化思考」的東西。

最關鍵的實驗結論：警報可以在沒有認證、甚至沒有 core network 的情況下顯示

這篇最值得防守方直接記住的，不是某個實驗小細節，而是這個結果：

一旦手機 camp 到 rogue gNB，上面的偽造緊急警報可以在沒有成功網路認證、甚至沒有 core network 的情況下直接顯示出來。

作者觀察到，所有測試手機在 camp 上假基地台後，都會立即收到 forged warning，而且警報跳出時間甚至早於 gNB log 裡顯示 random access procedure 開始的時點。這說明兩件事：

• 警報接收不依賴成功註冊到網路
• 攻擊者甚至不需要把整個假行動網路做完整，只要把廣播面做好，就足以推送假警報

從攻擊經濟學來看，這很糟。因為它把門檻從「需要完整假基地台營運能力」降到了「只要能控制廣播層行為就有戲」。

真正麻煩的不是警報會跳出來，而是手機還會幫你把詐騙內容變得更好點

論文另一個很有意思的部分，是作者不只看「能不能秀出警報」，還測了手機對警報內容的解析行為。這比單純秀假訊息更糟，因為它把風險從 misinformation 一路推進到 phishing 與社工利用。

作者發現：

• 帶有 http://、https://、ftp:// 等協定的網址會被辨識成可點擊連結
• 沒有協定但符合有效 TLD 的字串，也可能被辨識成連結
• 短網址會被穩定辨識成 clickable link，卻把真正目的地藏起來
• 某些裝置甚至會把含有 Cyrillic 字元的混淆網址當成合法可點連結
• email、電話號碼、部分地圖地址也會被系統自動掛到對應 app

我覺得這是整篇 paper 最值得資安圈帶走的 framing 之一：

很多 emergency alert spoofing 真正危險的，不是假消息本身，而是手機 UI 還會很貼心地幫攻擊者把社交工程入口加工成「立即可點」。

而且人在收到緊急警報時，本來就處於壓力、焦慮與高順從狀態。平常看得出來的紅旗，在災難情境裡往往都會鈍化。這讓「警報中的連結」比一般釣魚簡訊更值得怕。

裝置差異也很重要：標準只是下限，真正的攻擊面活在各家實作裡

這篇另一個實務價值，是它把很多device-specific behavior 攤開來看。

例如作者測了長訊息分段、平行多條警報、serial number 持續更新等情境，發現：

• 有些裝置能正常組回多段警報，有些則不行
• 某些裝置只顯示最後一則訊息
• 持續遞增 serial number 可在手機短時間停留 rogue cell 期間反覆觸發警報聲與震動，造成高度干擾
• 不同實作對平行分段重組的支援程度不同

這意味著攻擊面不只在標準本身，也在各家手機廠商、作業系統與 modem stack 的細節實作裡。對藍隊來說，這是一個很典型也很煩的現象：

• spec 決定你大方向哪裡脆弱
• vendor implementation 決定你到底怎麼死、死得多慘、死在哪幾款裝置上

這篇提出的防禦很務實：不要先問「這警報看起來像不像真的」，先問「附近是不是只有它在喊」

我喜歡這篇的一點，是它沒有把 countermeasure 寫成空泛口號。作者很清楚：替警報加上完整來源驗證、改 3GPP 標準、改網路側流程，這些都很合理，但落地慢、改動大，而且未必容易部署。

所以他們提出一個比較實際的 UE-side 緩解法：cross-cell verification。

核心想法很直白：

• 真的公共警報通常會由多個相鄰基地台、甚至不同 operator，同步或近同步廣播
• 假的警報往往來自單一 rogue gNB

所以手機收到警報後，不是立刻把它當真，而是短暫掃描鄰近 cells，檢查是否也能在其他 cell 上觀察到相同警報內容（或相同 hash）。若只有單一來源在喊，則標記為 unverified。

這個思路妙的地方在於，它不要求先建立連線、不要求有效訂閱，也不要求網路側一起改。它只利用本來就存在的廣播資訊與鄰區掃描能力，去做一個近似真偽判定。

這篇 defense 的精髓不是「證明它一定是真的」，而是用很低成本先抓出那種「只有一個人在大喊、其他人都沒反應」的可疑警報。

這個防禦不是銀彈，但它比很多高大全方案更像能活下來的東西

作者也很誠實。cross-cell verification 不是密碼學保證，不是從根上消滅 spoofing，也不是所有場景都完美：

• 若附近剛好沒有可比較的鄰近 cell，系統可能只能標示 unverified
• 如果攻擊者未來能協調多個 rogue cells，同步送出相同警報，防禦難度就會上升
• 真實商用手機要做到這種驗證，往往涉及較低層 modem / kernel 能力，不是一般 app 可輕鬆完成

但我反而認為這正是它的價值：它不是在寫一個理想世界裡的完美修補，而是在寫一個現實世界裡「先把最爛、最便宜、最單點的 spoofing 攻擊變難」的工程解法。

資安實務裡，這種方案通常比宏大重構更有生命力。

對實務世界的啟發：別把 public warning system 當成單純的災防功能，它也是高信任社工基礎設施

我覺得這篇最值得延伸思考的是，緊急警報系統其實不只是 telecom feature，它也是一種國家級、高信任、強情境控制力的訊息通道。

一旦這種通道可以被偽造，它的後果不只是：

• 假新聞
• 惡作劇
• 局部恐慌

還可能外溢成：

• 大規模 phishing 導流
• 災難情境下的群眾操控
• 針對特定區域的定向心理作戰
• 搭配 jamming / fake base station 的複合式擾亂行動

也就是說，這已經不是單純 mobile security 小題，而是把無線安全、社會工程、公共安全與資訊作戰黏在一起的問題。

我怎麼看這篇論文的份量？

如果你期待的是超複雜的新理論，這篇可能不會讓你腦洞大開；但如果你在意的是「什麼東西真的會在現場造成麻煩」，它就很紮實。

它的份量來自三件事：

• 把 5G 緊急警報 spoofing 做成開源、可重現平台
• 把攻擊效果從單純彈出警報，擴展到 clickable content、裝置差異與高干擾操作
• 提出一個相對務實、可 backward-compatible 的 UE-side 緩解方向

這不是「紙上談兵式的 5G 漏洞論文」，而是直接把電信規格的信任假設翻給你看，然後再順手示範它怎麼被社工化、產品化、測試化。

對實務最值得帶走的一句話

很多 public warning system 真正危險的，不是警報送不到，而是任何能假扮基地台的人，都可能搶先替國家對你說話。

一句話總結

這篇論文最不舒服的地方，在於它提醒你：當一個系統把「讓所有人都能立刻收到」放到最高優先時，攻擊者通常也會把「那我就先比真的更早送到」當成最佳切入點。