研究人员发现4G漏洞 可盗取用户信息发送虚假警报

2018-03-04  阅读次数:

(研究人员发现新4G漏洞:可盗取用户信息、位置甚至发出虚假警告)

据外媒报道,普渡大学和爱荷华大学的研究人员经过研究调查在4G LTE网络中发现了大量新的漏洞,它们能够偷窥用户的信息、窃听他们的电话、让设备脱机甚至发出虚假紧急警报。研究人员在响应的报告中详细描述了10种攻击。

final-hero-alert.jpg

这些漏洞可以通过模拟现有用户的身份发起验证中继攻击。虽然验证中继攻击算不上是什么新鲜的攻击方式,但最新的研究却显示,它们可以被用来拦截信息、追踪用户的位置并阻止手机连接网络。

在研究过程中,研究人员采用了一种叫做LTEInspector的测试框架,它能帮助检测到LTE无线电和网络的漏洞。

研究小组成员Syed Rafiul Hussain指出,在他们新发现的10种攻击中,他们已经用来自美国四家主要运营商的SIM确认了其中8种。“大多数这些攻击的根源都是因为缺少合适的身份认证、加密以及重要协议信息回放保护。”

Hussain表示,这些漏洞可以用来虚构受害者设备的位置。这将会给一些犯罪分子通过向植入虚假位置信息妨碍执法人员的调查进度。

还有一种则可以向特定区域的设备发送虚假紧急警告进而引发“人为混乱”。像今年1月发生在夏威夷的弹道导弹警告就在当地引起了不小的骚动,只不过它并不是因网络攻击引发,但两者产生的影响却是一样的。

Hussain指出,他们发现美国一家运营商从未对飞机信息进行过加密处理,而这极有可能会被网络犯罪分子用来盗取手机信息和其他敏感数据。不过Hussain并未透露该家公司的名字,但表示对方已经修复。

研究人员还称,任何人都能利用常见的软件无线电设备和开源4G LTE协议软件发起上面这些攻击,成本可以低至1300美元-3900美元。不过在漏洞被修复之前,他们将将不会公布任何的概念验证代码。

虽然各商家承诺即将推出的5G网络将变得更快、更安全,但很显然4G LTE并不会在短期内消失,所以这些漏洞问题不容小觑。