5G最大的特點之一是安全雷區(qū)

5G最大的特點之一是安全雷區(qū)運營商提供的5G平臺，在處理嵌入式設備數(shù)據(jù)方面存在漏洞。

真正的5G無線數(shù)據(jù)擁有超快的速度和增強的安全保護，但在全球范圍內推廣緩慢。隨著移動技術的激增——將擴展的速度和帶寬與低延遲連接相結合——其最受吹捧的功能之一開始受到關注。但升級伴隨著大量潛在的安全風險。從智能城市傳感器到農業(yè)機器人等，大量支持5G的設備正在獲得連接互聯(lián)網(wǎng)的能力，這些設備在Wi-Fi不實用或無法使用的地方。個人甚至可能選擇用光纖互聯(lián)網(wǎng)連接換成家庭5G接收器。但據(jù)BlackHatsecurityconference的一項研究顯示，運營商為管理物聯(lián)網(wǎng)數(shù)據(jù)而設置的接口充滿了安全漏洞。這些漏洞可能會長期困擾該行業(yè)。經(jīng)過多年研究移動數(shù)據(jù)射頻標準中潛在的安全和隱私問題，柏林技術大學的研究員AltafShaik表示，很想研究運營商提供的應用程序編程接口(API)，以使開發(fā)人員可以訪問物聯(lián)網(wǎng)數(shù)據(jù)。應用程序可以使用這些通道來獲取實時總線跟蹤數(shù)據(jù)或倉庫中的庫存信息。此類API在Web服務中無處不在，但Shaik指出，它們尚未廣泛用于核心電信產品中。通過研究全球10家移動運營商的5G物聯(lián)網(wǎng)API,Shaik和其同事ShinjoPark發(fā)現(xiàn)了所有這些運營商都存在常見但嚴重的API漏洞，其中一些可以被利用來獲得授權訪問數(shù)據(jù)，甚至直接訪問網(wǎng)絡上的物聯(lián)網(wǎng)設備?！爸R差距很大。這是電信業(yè)一種新型攻擊的開始，”Shaik告訴《連線》雜志：“有一個完整的平臺，可以訪問API、文檔和所有內容，其被稱為‘物聯(lián)網(wǎng)服務平臺’。每個國家的每個運營商都將銷售這種平臺，如果沒有，也有虛擬運營商和分包商。所以將有大量公司提供這種平臺?！蔽锫?lián)網(wǎng)服務平臺的設計在5G標準中沒有具體規(guī)定，而是由每個運營商和公司創(chuàng)建和部署。這意味著它們的質量和實施存在很大差異。除了5G，升級的4G網(wǎng)絡還可以支持一些物聯(lián)網(wǎng)擴展，從而擴大可能提供物聯(lián)網(wǎng)服務平臺和API的運營商數(shù)量。研究人員在其分析的10家運營商中購買了物聯(lián)網(wǎng)套餐，并為其物聯(lián)網(wǎng)設備網(wǎng)絡購買了專用數(shù)據(jù)SIM卡。通過這種方式，他們可以像生態(tài)系統(tǒng)中的其他客戶一樣訪問這些平臺。他們發(fā)現(xiàn)，API設置的基本缺陷，比如身份驗證薄弱或缺少訪問控制，可能會泄露SIM卡標識符、SIM卡密鑰、購買者的身份以及其賬單信息。在某些情況下，研究人員甚至可以訪問其他用戶的大量數(shù)據(jù)流，甚至可以通過發(fā)送或回放他們本不應該控制的命令來識別和訪問的物聯(lián)網(wǎng)設備。研究人員對測試的10家運營商進行了公開程序，并表示，他們目前發(fā)現(xiàn)的大多數(shù)漏洞都得到了修復。Shaik指出，物聯(lián)網(wǎng)服務平臺上的安全保護質量差異很大，有些看起來更成熟，而另一些“仍然堅持舊的糟糕的安全政策和原則”。其補充道，該組織沒有公開調查的運營商名稱，因為擔心這些問題可能會廣泛存在。其中7家位于歐洲，2家位于美國，1家位于亞洲。Shaik表示:“我們發(fā)現(xiàn)，只要在平臺上，就可以利用漏洞訪問其他設備，即使它們不屬于我們?；蛘呶覀兛梢耘c其他物聯(lián)網(wǎng)設備交談，發(fā)送消息，提取信息。這是個大問題?！盨haik強調，當發(fā)現(xiàn)不同的缺陷后，并沒有對其他客戶進行黑客攻擊，也沒有做任何不當?shù)氖虑?。但其指出，沒有一家運營商檢測到研究人員的探測，這本身就表明缺乏監(jiān)控和安全措施。

這些發(fā)現(xiàn)只是第一步，但其強調了隨著5G的全面廣度和規(guī)模開始出現(xiàn)，確保大規(guī)模新生態(tài)系統(tǒng)所面臨的挑戰(zhàn)。

生成海報

免責聲明：本網(wǎng)站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。