• Cehui8.com 测绘地理信息领域专业门户
  • 首页 > 测绘新闻 > 互联网

    4G/5G网络不安全?智慧城市岌岌可危?

    2017-10-18 10:31:17 来源: 黑客与极客
    聊聊

    测绘网讯 安全公司Positive Technologies的研究人员警告称,4G/5G无线网络与目前的WiFi一样存在安全问题,而这些安全问题会让智慧城市的构想变得岌岌可危。智慧城市就是运用信息和通信技术手段感测、分析、整合城市运行核心系统的各项关键信息,从而对包括民生、环保、公共安全、城市服务、工商业活动在内的各种需求做出智能响应。其实质是利用先进的信息技术,实现城市智慧式管理和运行,进而为城市中的人创造更美好的生活,促进城市的和谐、可持续成长。

    物联网设备的兴起不仅给我们带来了更多的机会,而且也让我们面临着更多的挑战。现在几乎所有的电子设备都可以联网,如果我们选择使用传统网络电缆来连接这些设备的话,成本就非常昂贵了,而且在很多情况下,我们的设备甚至只支持使用无线网络连接。

    很多物联网设备的用户会选择使用WiFi网络,但我们其实早就已经知道这些技术所面临的安全挑战了。现在几乎每个人的家里都有WiFi网络,但是WiFi网络目前还不适用于类似工业制造、能源生产或智慧城市等大型商业设备的部署上。

    现在,通信运营商正在加紧部署昂贵的4G/5G无线网络,而这些基础设施也将成为商业物联网设备的一个通信选择。但不幸的是,虽然4G/5G无线网络的部署是由业内的专家负责的,但它们仍然存在很多安全问题。其实大家可能都知道了,SMS信息系统是存在安全漏洞的,因此用手机发文字短信的行为其实是非常不安全的。

    就在前不久,安全厂商Positive Technologies的研究人员正式站出来警告称,4G/5G无线网络的基础协议中存在三大潜在的安全风险。

    Positive Technologies发布的研究报告中写到:

    我们所检测到的漏洞会让智能交通指示灯、街道照明系统、电子路标、公交站的信息显示牌以及其他接入了第四代移动网络的智慧城市设备陷入安全风险之中。更加重要的是,Positive Technologies在移动网络中所发现的这些漏洞同样会影响到即将商用的5G网络中。

    报告中所介绍的漏洞利用技术基于GTP协议中的设计缺陷,在利用这些漏洞实施攻击时,攻击者甚至根本不需要任何复杂的工具或先进的技术,他们只需要一台笔记本电脑、一套免费的渗透测试工具以及一些基本的编程技巧就能够完成攻击。

    你可能此前已经听说过VoiceOver IP(VoIP)了,这种技术可以将语音信息转换成离散数据包。转换完成之后,我们就可以通过主机-主机的传输网络(例如邮件或视频流等等)来发送语音通话信息了。

    这些网络实现的基础是一种名叫Extended Packet Core(EPC)的东西,它可以利用通用隧道协议(GTPv2)来合并语音和数据通信信道。而研究人员也在GTPv2协议中发现了安全漏洞:

    研究人员表示,该协议本身并没有采用任何的加密机制,因此其固有安全性以及认证机制都必须通过应用程序中的其他组件来处理。

    Positive Technologies的通信安全部门主管MichaelDowns解释称:“移动网络基础设施基于的是一系列电话信令协议,而这些协议开发于1975年。在当时,信息安全并不是需要考虑的首要问题,因为当时只有少数人有机会使用到通信网络。今天的情况可就不一样了,几乎任何一个人都可以访问通信网络,但安全性仍然还停留在过去那个阶段。”

    Positive Technologies给出了下列三种不同的预测攻击场景:

    1. 信息泄露:攻击者可通过移动网络中的安全漏洞获取接入网络的其他节点信息,例如地理位置和设备固件版本等等。

    2. 拒绝服务(DoS):GTP可以用来创建隔离的通信信道,但这种“隔离”并不是完全的隔离。少数用户的通信会被合并到一个单独的信道上,因此同一信道下的某个用户就可以让其他所有的用户与该信道断开连接,即拒绝服务攻击。

    3. 完全接管设备:很多物联网设备运行的是十分简单的IP栈以及存在漏洞的系统栈。目前所发现的漏洞很有可能同样存在于这些设备之中,而加密机制的缺失意味着这些设备将有可能被非法远程访问。

    跟其他类似WiFi和蓝牙之类的无线协议相似,EPC同样是不安全的。如果你想依赖于这些通信技术来实现安全通信的话,你还需要引入其他额外的安全控制措施。大家都知道,我们的安全只能靠我们自己!

    * 参考来源:securityaffairs, FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM

       声明:中测网登载此文出于传递更多信息之目的,并不意味着赞同其观点或证实其描述,文章内容仅供参考。

    返回顶部