یکی از بزرگترین ویژگی های 5G، میدان مین امنیتی است
یکی از بزرگترین ویژگی های 5G، میدان مین امنیتی است
تحقیقات جدید آسیبپذیریهای نگرانکنندهای را در شرکتهای مخابراتی پلتفرمهای 5G برای بحث کردن دادههای دستگاه تعبیهشده نشان میدهد.
دادههای بیسیم TRUE 5G، با سرعتهای فوقالعاده و حفاظتهای امنیتی پیشرفته، به کندی در سرتاسر جهان منتشر میشوند. با گسترش فناوری تلفن همراه – ترکیب سرعت و پهنای باند افزایش یافته با اتصالات کم تاخیر – یکی از ویژگی های تبلیغ شده آن شروع به تمرکز کرده است.اما این ارتقا با مجموعه ای از قرار گرفتن در معرض خطر های امنیتی بالقوه خود برای کاربر همراه است.
جمعیت انبوهی از دستگاههای دارای 5G، از حسگرهای شهر هوشمند گرفته تا رباتهای کشاورزی و فراتر از آن، توانایی اتصال به اینترنت را در مکانهایی که Wi-Fi در دسترس نیست، به دست میآورند.
حتی ممکن است افراد ترجیح دهند اتصال اینترنت فیبر نوری خود را با گیرنده 5G خانگی مبادله کنند. اما طبق تحقیقاتی که روز چهارشنبه در کنفرانس امنیتی Black Hat در لاس وگاس ارائه خواهد شد، رابطهایی که اپراتورها برای مدیریت دادههای اینترنت اشیا راهاندازی کردهاند، مملو از آسیبپذیریهای امنیتی هستند. و این آسیبپذیریها میتوانند صنعت را در درازمدت تحت تأثیر قرار دهند.
پس از سالها بررسی مسائل امنیتی و حریم خصوصی بالقوه در استانداردهای فرکانس رادیویی دادههای تلفن همراه، محقق دانشگاه فنی برلین، Altaf Shaik، میگوید که کنجکاو بوده است تا رابطهای برنامهنویسی کاربردی (API) را که اپراتورها برای دسترسی به دادههای IoT برای توسعهدهندگان ارائه میدهند، بررسی کند.
اینها مجراهایی هستند که برنامهها میتوانند از آنها برای جمعآوری، مثلاً دادههای ردیابی اتوبوس در زمان واقعی یا اطلاعات موجود در یک انبار استفاده کنند. چنین APIهایی در همه جا در سرویس های وب وجود دارند، اما Shaik اشاره می کند که آنها به طور گسترده در ارائه های اصلی ارتباطات از راه دور استفاده نشده اند.
Shaik و همکارش Shinjo Park با نگاهی به APIهای G IoT 105 اپراتور تلفن همراه در سراسر جهان، آسیبپذیریهای مشترک اما جدی API را در همه آنها یافتند و برخی از آنها میتوانند برای دسترسی مجاز به دادهها یا حتی دسترسی مستقیم به دستگاههای IoT در شبکه مورد سوء استفاده قرار گیرند.
« در اینجا از نظر علمی شکاف بزرگی وجود دارد. این شروع نوع جدیدی از حمله در مخابرات است. یک پلتفرم کامل وجود دارد که در آن شما به APIها دسترسی دارید، اسناد، همه چیز وجود دارد، و چیزی شبیه به «پلتفرم خدمات اینترنت اشیا» نامیده میشود.
هر اپراتور در هر کشوری اگر از قبل وجود نداشته باشد، آنها را میفروشد. اپراتورهای مجازی و قراردادهای فرعی نیز، بنابراین تعداد زیادی شرکت وجود خواهد داشت که این نوع پلتفرم را ارائه می دهند.
طرحهای پلتفرمهای خدمات اینترنت اشیا در استاندارد 5G مشخص نشدهاند و بر عهده هر اپراتور و شرکتی است که آن را ایجاد و استقرار کند. این بدان معناست که تنوع گسترده ای در کیفیت و اجرای آنها وجود دارد.
علاوه بر 5G، شبکههای G4 ارتقا یافته نیز میتوانند از گسترش اینترنت اشیا پشتیبانی کنند و تعداد اپراتورهایی را که ممکن است پلتفرمهای خدمات اینترنت اشیا و APIهایی را که آنها را تغذیه میکنند، ارائه دهند، افزایش دهد.
محققان طرحهای اینترنت اشیا را بر روی 10 شرکت مخابراتی خریداری کردند و سیمکارتهای مخصوص دادهها را برای شبکههای دستگاههای IoT خود دریافت کردند. به این ترتیب آنها مانند هر مشتری دیگری در اکوسیستم به پلتفرم ها دسترسی داشتند.
آنها دریافتند که نقصهای اساسی در نحوه راهاندازی APIها، مانند احراز هویت ضعیف یا از دست دادن کنترلهای دسترسی، میتواند شناسههای سیم کارت، کلیدهای مخفی سیم کارت، هویت خریدار سیم کارت و اطلاعات صورتحساب آنها را آشکار کند.
و در برخی موارد، محققان حتی میتوانند به جریانهای بزرگی از دادههای سایر کاربران دسترسی داشته باشند یا حتی دستگاههای IoT آنها را با ارسال یا پخش مجدد دستوراتی که نباید قادر به کنترل آنها بودند، شناسایی کرده و به آنها دسترسی داشته باشند.
محققان فرآیندهای افشا را با 10 حامل مورد آزمایش قرار دادند و گفتند که اکثر آسیبپذیریهایی که تاکنون یافتهاند در حال رفع شدن هستند. Shaik خاطرنشان می کند که کیفیت محافظت های امنیتی در پلت فرم های خدمات اینترنت اشیا بسیار متفاوت است، به طوری که برخی بالغ تر به نظر می رسند در حالی که برخی دیگر “هنوز به همان سیاست ها و اصول امنیتی بد قدیمی پایبند هستند.”
او می افزاید که این گروه به دلیل نگرانی در مورد گستردگی این مسائل، علناً از اپراتورهایی که در این اثر به آنها نگاه کرده اند، نام نمی برد. هفت شرکت حامل در اروپا، دو شرکت در ایالات متحده و یک شرکت در آسیا مستقر هستند.
Shaik میگوید: «ما نقاط ضعفی را پیدا کردیم که میتوان از آنها برای دسترسی به دستگاههای دیگر حتی با وجود اینکه متعلق به ما نیستند، فقط با قرار گرفتن در پلتفرم مورد سوء استفاده قرار گرفت. «یا میتوانیم با سایر دستگاههای اینترنت اشیا صحبت کنیم و پیام بفرستیم، اطلاعات را استخراج کنیم. این یک مسئله بزرگ است.»
shaik تاکید می کند که او و همکارانش به محض کشف ایرادات مختلف، هیچ مشتری دیگری را هک نکردند یا کار نادرستی انجام ندادند. اما او خاطرنشان می کند که هیچ یک از حامل ها کاوش محققان را شناسایی نکردند، که این خود نشان دهنده فقدان نظارت و پادمان است.
این یافتهها تنها اولین قدم هستند، اما چالشهای ایمن سازی اکوسیستمهای عظیم جدید را با شروع ظهور وسعت و مقیاس کامل 5G نشان میدهند.
دیدگاه خود را ثبت کنید
تمایل دارید در گفتگو شرکت کنید؟نظری بدهید!