یکی از بزرگترین ویژگی های 5G، میدان مین امنیتی است

یکی از بزرگترین ویژگی های 5G، میدان مین امنیتی است

تحقیقات جدید آسیب‌پذیری‌های نگران‌کننده‌ای را در شرکت‌های مخابراتی پلت‌فرم‌های 5G برای بحث کردن داده‌های دستگاه تعبیه‌شده نشان می‌دهد.

داده‌های بی‌سیم TRUE 5G، با سرعت‌های فوق‌العاده و حفاظت‌های امنیتی پیشرفته، به کندی در سرتاسر جهان منتشر می‌شوند. با گسترش فناوری تلفن همراه – ترکیب سرعت و پهنای باند افزایش یافته با اتصالات کم تاخیر – یکی از ویژگی های تبلیغ شده آن شروع به تمرکز کرده است.اما این ارتقا با مجموعه ای از قرار گرفتن در معرض خطر های امنیتی بالقوه خود برای کاربر همراه است.

جمعیت انبوهی از دستگاه‌های دارای 5G، از حسگرهای شهر هوشمند گرفته تا ربات‌های کشاورزی و فراتر از آن، توانایی اتصال به اینترنت را در مکان‌هایی که Wi-Fi در دسترس نیست، به دست می‌آورند.

حتی ممکن است افراد ترجیح دهند اتصال اینترنت فیبر نوری خود را با گیرنده 5G خانگی مبادله کنند. اما طبق تحقیقاتی که روز چهارشنبه در کنفرانس امنیتی Black Hat در لاس وگاس ارائه خواهد شد، رابط‌هایی که اپراتورها برای مدیریت داده‌های اینترنت اشیا راه‌اندازی کرده‌اند، مملو از آسیب‌پذیری‌های امنیتی هستند. و این آسیب‌پذیری‌ها می‌توانند صنعت را در درازمدت تحت تأثیر قرار دهند.

پس از سال‌ها بررسی مسائل امنیتی و حریم خصوصی بالقوه در استانداردهای فرکانس رادیویی داده‌های تلفن همراه، محقق دانشگاه فنی برلین، Altaf Shaik، می‌گوید که کنجکاو بوده است تا رابط‌های برنامه‌نویسی کاربردی (API) را که اپراتورها برای دسترسی به داده‌های IoT برای توسعه‌دهندگان ارائه می‌دهند، بررسی کند.

اینها مجراهایی هستند که برنامه‌ها می‌توانند از آنها برای جمع‌آوری، مثلاً داده‌های ردیابی اتوبوس در زمان واقعی یا اطلاعات موجود در یک انبار استفاده کنند. چنین APIهایی در همه جا در سرویس های وب وجود دارند، اما Shaik اشاره می کند که آنها به طور گسترده در ارائه های اصلی ارتباطات از راه دور استفاده نشده اند.

Shaik و همکارش Shinjo Park با نگاهی به APIهای G IoT 105 اپراتور تلفن همراه در سراسر جهان، آسیب‌پذیری‌های مشترک اما جدی API را در همه آنها یافتند و برخی از آنها می‌توانند برای دسترسی مجاز به داده‌ها یا حتی دسترسی مستقیم به دستگاه‌های IoT در شبکه مورد سوء استفاده قرار گیرند.

« در اینجا از نظر علمی شکاف بزرگی وجود دارد. این شروع نوع جدیدی از حمله در مخابرات است. یک پلتفرم کامل وجود دارد که در آن شما به APIها دسترسی دارید، اسناد، همه چیز وجود دارد، و چیزی شبیه به «پلتفرم خدمات اینترنت اشیا» نامیده می‌شود.

هر اپراتور در هر کشوری اگر از قبل وجود نداشته باشد، آنها را می‌فروشد. اپراتورهای مجازی و قراردادهای فرعی نیز، بنابراین تعداد زیادی شرکت وجود خواهد داشت که این نوع پلتفرم را ارائه می دهند.

طرح‌های پلت‌فرم‌های خدمات اینترنت اشیا در استاندارد 5G مشخص نشده‌اند و بر عهده هر اپراتور و شرکتی است که آن را ایجاد و استقرار کند. این بدان معناست که تنوع گسترده ای در کیفیت و اجرای آنها وجود دارد.

علاوه بر 5G، شبکه‌های G4 ارتقا یافته نیز می‌توانند از گسترش اینترنت اشیا پشتیبانی کنند و تعداد اپراتورهایی را که ممکن است پلتفرم‌های خدمات اینترنت اشیا و APIهایی را که آنها را تغذیه می‌کنند، ارائه دهند، افزایش دهد.

محققان طرح‌های اینترنت اشیا را بر روی 10 شرکت مخابراتی خریداری کردند و سیم‌کارت‌های مخصوص داده‌ها را برای شبکه‌های دستگاه‌های IoT خود دریافت کردند. به این ترتیب آنها مانند هر مشتری دیگری در اکوسیستم به پلتفرم ها دسترسی داشتند.

آن‌ها دریافتند که نقص‌های اساسی در نحوه راه‌اندازی APIها، مانند احراز هویت ضعیف یا از دست دادن کنترل‌های دسترسی، می‌تواند شناسه‌های سیم کارت، کلیدهای مخفی سیم کارت، هویت خریدار سیم کارت و اطلاعات صورت‌حساب آنها را آشکار کند.

و در برخی موارد، محققان حتی می‌توانند به جریان‌های بزرگی از داده‌های سایر کاربران دسترسی داشته باشند یا حتی دستگاه‌های IoT آن‌ها را با ارسال یا پخش مجدد دستوراتی که نباید قادر به کنترل آن‌ها بودند، شناسایی کرده و به آن‌ها دسترسی داشته باشند.

محققان فرآیندهای افشا را با 10 حامل مورد آزمایش قرار دادند و گفتند که اکثر آسیب‌پذیری‌هایی که تاکنون یافته‌اند در حال رفع شدن هستند. Shaik خاطرنشان می کند که کیفیت محافظت های امنیتی در پلت فرم های خدمات اینترنت اشیا بسیار متفاوت است، به طوری که برخی بالغ تر به نظر می رسند در حالی که برخی دیگر “هنوز به همان سیاست ها و اصول امنیتی بد قدیمی پایبند هستند.”

او می افزاید که این گروه به دلیل نگرانی در مورد گستردگی این مسائل، علناً از اپراتورهایی که در این اثر به آنها نگاه کرده اند، نام نمی برد. هفت شرکت حامل در اروپا، دو شرکت در ایالات متحده و یک شرکت در آسیا مستقر هستند.

Shaik می‌گوید: «ما نقاط ضعفی را پیدا کردیم که می‌توان از آن‌ها برای دسترسی به دستگاه‌های دیگر حتی با وجود اینکه متعلق به ما نیستند، فقط با قرار گرفتن در پلتفرم مورد سوء استفاده قرار گرفت. «یا می‌توانیم با سایر دستگاه‌های اینترنت اشیا صحبت کنیم و پیام بفرستیم، اطلاعات را استخراج کنیم. این یک مسئله بزرگ است.»

shaik تاکید می کند که او و همکارانش به محض کشف ایرادات مختلف، هیچ مشتری دیگری را هک نکردند یا کار نادرستی انجام ندادند. اما او خاطرنشان می کند که هیچ یک از حامل ها کاوش محققان را شناسایی نکردند، که این خود نشان دهنده فقدان نظارت و پادمان است.

این یافته‌ها تنها اولین قدم هستند، اما چالش‌های ایمن سازی اکوسیستم‌های عظیم جدید را با شروع ظهور وسعت و مقیاس کامل 5G نشان می‌دهند.