5G уязвимость безопасность утечка данных взлом личные данные
Уязвимости в API-интерфейсах сети 5G могут предоставить любому человеку личные данные пользователя и доступ к его IoT-устройству.
Согласно новому исследованию, интерфейсы, которые операторы создали для управления данными IoT-устройств в сети 5G содержат уязвимости. И эти уязвимости могут преследовать отрасль в долгосрочной перспективе. Отчет будет представлен 10 августа на конференции по безопасности Black Hat в Лас-Вегасе .
Исследователь Берлинского технического университета Альтаф Шайк изучил API-интерфейсы, которые предлагают операторы, чтобы сделать возможности IoT доступными для разработчиков. Такие API уже используются в веб-сервисах, но не нашли применения в телекоммуникационной сфере. Изучив API-интерфейсы 5G-сети 10 операторов мобильной связи по всему миру, Шайк и его коллега Синдзё Пак обнаружили во всех них общие, широко известные уязвимости API.
Существует «сервисная IoT-платформа», где вы получаете доступ к API. Конструкции сервисных IoT-платформ не указаны в стандарте 5G, но каждый оператор связи должен создавать и развертывать их. Это означает, что их качество и реализация будут сильно различаться у каждой компании. В дополнение к 5G модернизированные 4G-сети также могут поддерживать расширение IoT, увеличивая количество операторов связи, предоставляющие сервисные IoT-платформы и API-интерфейсы.
Исследователи купили доступ к API-интерфейсу у 10 операторов и получили специальные SIM-карты для передачи данных только для своих сетей IoT-устройств. Так эксперты получили такой же доступ к платформе, как и у любого другого клиента.
Основные недостатки в настройке API, такие как слабая аутентификация или отсутствие контроля доступа, могут раскрыть идентификаторы и секретные ключи SIM-карт, личность покупателя SIM-карты, и его платежную информацию. Более того, исследователи могли получить доступ к данных других пользователей и их IoT-устройствам, которыми можно управлять и извлекать из них информацию.
По словам специалистов, большинство обнаруженных уязвимостей уже исправлены. Шайк добавил, что защищенность сервисных платформ у разных операторов отличается: некоторые платформы имеют надежную защиту, а другие практически не защищены. Группа не раскрывает названия компаний, но указала, что 7 поставщиков базируются в Европе, 2 — в США и 1 — в Азии.
Шайк добавил, что другие пользователи на платформе, к которым ученые смогли получить доступ, не обнаружили проникновение исследователей, что указывает на отсутствие мониторинга и гарантий безопасности.
SECURITYLAB.RU