5G最大的特點之一是安全雷區
運營商提供的5G平台,在處理嵌入式設備數據方面存在漏洞。
真正的5G無線數據擁有超快的速度和增強的安全保護,但在全球範圍內推廣緩慢。隨著移動技術的激增——將擴展的速度和帶寬與低延遲連接相結合——其最受吹捧的功能之一開始受到關注。但升級伴隨著大量潛在的安全風險。
從智能城市傳感器到農業機器人等,大量支持5G的設備正在獲得連接互聯網的能力,這些設備在Wi-Fi不實用或無法使用的地方。個人甚至可能選擇用光纖互聯網連接換成家庭5G接收器。但據BlackHatsecurityconference的一項研究顯示,運營商為管理物聯網數據而設置的接口充滿了安全漏洞。這些漏洞可能會長期困擾該行業。
經過多年研究移動數據射頻標準中潛在的安全和隱私問題,柏林技術大學的研究員AltafShaik表示,很想研究運營商提供的應用程序編程接口(API),以使開發人員可以訪問物聯網數據。應用程序可以使用這些通道來獲取實時總線跟踪數據或倉庫中的庫存信息。此類API在Web服務中無處不在,但Shaik指出,它們尚未廣泛用於核心電信產品中。通過研究全球10家移動運營商的5G物聯網API,Shaik和其同事ShinjoPark發現了所有這些運營商 都存在常見但嚴重的API漏洞,其中一些可以被利用來獲得授權訪問數據,甚至直接訪問網絡上的物聯網設備。
“知識差距很大。這是電信業一種新型攻擊的開始,”Shaik告訴《連線》雜誌:“有一個完整的平台,可以訪問API、文檔和所有內容,其被稱為'物聯網服務平台'。每個國家的每個運營商都將銷售這種平台,如果沒有,也有虛擬運營商和分包商。所以將有大量公司提供這種平台。”
物聯網服務平台的設計在5G標準中沒有具體規定,而是由每個運營商和公司創建和部署。這意味著它們的質量和實施存在很大差異。除了5G,升級的4G網絡還可以支持一些物聯網擴展,從而擴大可能提供物聯網服務平台和API的運營商數量。
研究人員在其分析的10家運營商中購買了物聯網套餐,並為其物聯網設備網絡購買了專用數據SIM卡。通過這種方式,他們可以像生態系統中的其他客戶一樣訪問這些平台。他們發現,API設置的基本缺陷,比如身份驗證薄弱或缺少訪問控制,可能會洩露SIM卡標識符、SIM卡密鑰、購買者的身份以及其賬單信息。在某些情況下,研究人員甚至可以訪問其他用戶的大量數據流,甚至可以通過發送或回放他們本不應該控制的命令來識別和訪問的物聯網設備。
研究人員對測試的10家運營商進行了公開程序,並表示,他們目前發現的大多數漏洞都得到了修復。Shaik指出,物聯網服務平台上的安全保護質量差異很大,有些看起來更成熟,而另一些“仍然堅持舊的糟糕的安全政策和原則”。其補充道,該組織沒有公開調查的運營商名稱,因為擔心這些問題可能會廣泛存在。其中7家位於歐洲,2家位於美國,1家位於亞洲。
Shaik表示:“我們發現,只要在平台上,就可以利用漏洞訪問其他設備,即使它們不屬於我們。或者我們可以與其他物聯網設備交談,發送消息,提取信息。這是個大問題。”
Shaik強調,當發現不同的缺陷後,並沒有對其他客戶進行黑客攻擊,也沒有做任何不當的事情。但其指出,沒有一家運營商檢測到研究人員的探測,這本身就表明缺乏監控和安全措施。
這些發現只是第一步,但其強調了隨著5G的全面廣度和規模開始出現,確保大規模新生態系統所面臨的挑戰。