5G最大的特點(diǎn)之一是安全雷區(qū)

　　運(yùn)營(yíng)商提供的5G平臺(tái)，在處理嵌入式設(shè)備數(shù)據(jù)方面存在漏洞。

　　5G最大的特點(diǎn)之一是安全雷區(qū)

　　真正的5G無(wú)線數(shù)據(jù)擁有超快的速度和增強(qiáng)的安全保護(hù)，但在全球范圍內(nèi)推廣緩慢。隨著移動(dòng)技術(shù)的激增——將擴(kuò)展的速度和帶寬與低延遲連接相結(jié)合——其最受吹捧的功能之一開始受到關(guān)注。但升級(jí)伴隨著大量潛在的安全風(fēng)險(xiǎn)。

　　從智能城市傳感器到農(nóng)業(yè)機(jī)器人等，大量支持5G的設(shè)備正在獲得連接互聯(lián)網(wǎng)的能力，這些設(shè)備在Wi-Fi不實(shí)用或無(wú)法使用的地方。個(gè)人甚至可能選擇用光纖互聯(lián)網(wǎng)連接換成家庭5G接收器。但據(jù)BlackHatsecurityconference的一項(xiàng)研究顯示，運(yùn)營(yíng)商為管理物聯(lián)網(wǎng)數(shù)據(jù)而設(shè)置的接口充滿了安全漏洞。這些漏洞可能會(huì)長(zhǎng)期困擾該行業(yè)。

　　經(jīng)過(guò)多年研究移動(dòng)數(shù)據(jù)射頻標(biāo)準(zhǔn)中潛在的安全和隱私問(wèn)題，柏林技術(shù)大學(xué)的研究員AltafShaik表示，很想研究運(yùn)營(yíng)商提供的應(yīng)用程序編程接口(API)，以使開發(fā)人員可以訪問(wèn)物聯(lián)網(wǎng)數(shù)據(jù)。應(yīng)用程序可以使用這些通道來(lái)獲取實(shí)時(shí)總線跟蹤數(shù)據(jù)或倉(cāng)庫(kù)中的庫(kù)存信息。此類API在Web服務(wù)中無(wú)處不在，但Shaik指出，它們尚未廣泛用于核心電信產(chǎn)品中。通過(guò)研究全球10家移動(dòng)運(yùn)營(yíng)商的5G物聯(lián)網(wǎng)API,Shaik和其同事ShinjoPark發(fā)現(xiàn)了所有這些運(yùn)營(yíng)商都存在常見但嚴(yán)重的API漏洞，其中一些可以被利用來(lái)獲得授權(quán)訪問(wèn)數(shù)據(jù)，甚至直接訪問(wèn)網(wǎng)絡(luò)上的物聯(lián)網(wǎng)設(shè)備。

　　“知識(shí)差距很大。這是電信業(yè)一種新型攻擊的開始，”Shaik告訴《連線》雜志：“有一個(gè)完整的平臺(tái)，可以訪問(wèn)API、文檔和所有內(nèi)容，其被稱為‘物聯(lián)網(wǎng)服務(wù)平臺(tái)’。每個(gè)國(guó)家的每個(gè)運(yùn)營(yíng)商都將銷售這種平臺(tái)，如果沒(méi)有，也有虛擬運(yùn)營(yíng)商和分包商。所以將有大量公司提供這種平臺(tái)。”

　　物聯(lián)網(wǎng)服務(wù)平臺(tái)的設(shè)計(jì)在5G標(biāo)準(zhǔn)中沒(méi)有具體規(guī)定，而是由每個(gè)運(yùn)營(yíng)商和公司創(chuàng)建和部署。這意味著它們的質(zhì)量和實(shí)施存在很大差異。除了5G，升級(jí)的4G網(wǎng)絡(luò)還可以支持一些物聯(lián)網(wǎng)擴(kuò)展，從而擴(kuò)大可能提供物聯(lián)網(wǎng)服務(wù)平臺(tái)和API的運(yùn)營(yíng)商數(shù)量。

　　研究人員在其分析的10家運(yùn)營(yíng)商中購(gòu)買了物聯(lián)網(wǎng)套餐，并為其物聯(lián)網(wǎng)設(shè)備網(wǎng)絡(luò)購(gòu)買了專用數(shù)據(jù)SIM卡。通過(guò)這種方式，他們可以像生態(tài)系統(tǒng)中的其他客戶一樣訪問(wèn)這些平臺(tái)。他們發(fā)現(xiàn)，API設(shè)置的基本缺陷，比如身份驗(yàn)證薄弱或缺少訪問(wèn)控制，可能會(huì)泄露SIM卡標(biāo)識(shí)符、SIM卡密鑰、購(gòu)買者的身份以及其賬單信息。在某些情況下，研究人員甚至可以訪問(wèn)其他用戶的大量數(shù)據(jù)流，甚至可以通過(guò)發(fā)送或回放他們本不應(yīng)該控制的命令來(lái)識(shí)別和訪問(wèn)的物聯(lián)網(wǎng)設(shè)備。

　　研究人員對(duì)測(cè)試的10家運(yùn)營(yíng)商進(jìn)行了公開程序，并表示，他們目前發(fā)現(xiàn)的大多數(shù)漏洞都得到了修復(fù)。Shaik指出，物聯(lián)網(wǎng)服務(wù)平臺(tái)上的安全保護(hù)質(zhì)量差異很大，有些看起來(lái)更成熟，而另一些“仍然堅(jiān)持舊的糟糕的安全政策和原則”。其補(bǔ)充道，該組織沒(méi)有公開調(diào)查的運(yùn)營(yíng)商名稱，因?yàn)閾?dān)心這些問(wèn)題可能會(huì)廣泛存在。其中7家位于歐洲，2家位于美國(guó)，1家位于亞洲。

　　Shaik表示:“我們發(fā)現(xiàn)，只要在平臺(tái)上，就可以利用漏洞訪問(wèn)其他設(shè)備，即使它們不屬于我們?；蛘呶覀兛梢耘c其他物聯(lián)網(wǎng)設(shè)備交談，發(fā)送消息，提取信息。這是個(gè)大問(wèn)題?！?/p>

　　Shaik強(qiáng)調(diào)，當(dāng)發(fā)現(xiàn)不同的缺陷后，并沒(méi)有對(duì)其他客戶進(jìn)行黑客攻擊，也沒(méi)有做任何不當(dāng)?shù)氖虑?。但其指出，沒(méi)有一家運(yùn)營(yíng)商檢測(cè)到研究人員的探測(cè)，這本身就表明缺乏監(jiān)控和安全措施。

　　5G最大的特點(diǎn)之一是安全雷區(qū)

　　這些發(fā)現(xiàn)只是第一步，但其強(qiáng)調(diào)了隨著5G的全面廣度和規(guī)模開始出現(xiàn)，確保大規(guī)模新生態(tài)系統(tǒng)所面臨的挑戰(zhàn)。

來(lái)源：千家網(wǎng)