标签: 4G

三个 4G/5G 漏洞曝光:可拦截电话和追踪用户位置

多名学者组成的团队近日宣布成功在4G/5G网络中发现三个新的安全漏洞,可用于拦截电话以及跟踪手机用户的位置。相关调查结果显示,这是首次同时影响现有4G网络和即将到来的5G标准的首批漏洞。5G网络声称提供更快的速度和更高的安全保护,并对窃听手机行为提供了更妥善的保护措施,但研究人员表示新型攻击方式可以绕过这些措施。 该论文的共同作者之一Syed Rafiul Hussain向外媒TechCrunch透露:“任何对蜂窝寻呼协议有所了解的人都可以发起此类攻击。”Hussain,以及来自于普渡大学的Ninghui Li和Elisa Bertino,来自爱荷华大学的Mitziu Echeverria和Omar Chowdhury,计划于本周二在圣地亚哥的网络和分布式系统安全研讨会上展示他们的发现。 根据论文描述,这三个漏洞分别为Torpedo、Piercer和IMSI-Cracking攻击。其中最为严重的就是Torpedo,它利用了蜂窝寻呼协议(paging protocol,运营商用于来电或者短信之前通知手机)的弱点,在短时间内拨打和取消手机通话可以在通知目标设备来电的情况下触发寻呼协议,从而让攻击者追踪受害者的位置。研究人员说,知道受害者的寻呼时机还可以让攻击者劫持寻呼通道,并通过欺骗消息(如Amber警报)或完全阻止消息来插入或拒绝寻呼消息。 而基于Torped漏洞,攻击者还可以推进另外2个漏洞。研究人员表示Piercer允许攻击者在4G网络上确定国际移动用户身份(IMSI),而另外一个漏洞名为IMSI-Cracking攻击,它可以在4G和5G网络中暴力攻击IMSI号码,而IMSI号码都是加密状态的。 Hussain表示美国四大电信运营商(AT&T,Verizon、Sprint和T-Mobile)均存在Torped漏洞,攻击者只需要花200美元购买一台无线电通讯设备就能发起攻击。一位不愿透露姓名的内部人士表示,美国的一家运营商已经遭受到了Piercer漏洞的攻击。     (稿源:cnBeta,封面源自网络。)

泰国最大 4G 移动运营商 TrueMove H 遭遇 AWS S3 存储桶数据泄露

据外媒 4 月 15 日报道,泰国最大 4G 移动运营商 TrueMove H 于近期遭遇了数据泄露,一位操作人员将 AWS S3 存储桶中总计 32 GB 的 46000 人数据公开在互联网上,其中包括身份信息、护照和驾驶执照等数据。目前根据 TrueMove H 发布的声明显示,其子公司 I True Mart 遭受到了此次泄露的影响。 安全研究人员 Niall Merrigan 透露像 bucket stream 和 bucket-finder 这样的工具允许扫描互联网来打开 S3 AWS buckers,例如此次事件,Merrigan 使用了“ bucket-finder ”工具来发现打开 TrueMove H 的 S3 桶。Merrigan 表示他已将这一问题告知 TrueMove H,但该操作人员并没有做出回应。 消息来源:Security Affairs,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

研究人员发现 4G 漏洞:可窥探信息跟踪用户发送虚假警报

大学研究人员发现了一系列新的网络攻击,该网络攻击主要利用了4G LTE 网络协议中存在的漏洞,来进行监视呼叫和信息、设备脱机、跟踪用户位置并发送虚假警报等 10 种攻击。研究人员使用了一种名为 LTEInspector 的测试方法来进行实验,并在美国四大运营商网络中确认了 8 种,而受到攻击的大部分原因在于,协议信息中缺乏适当的认证,加密和重播保护。 任何人都可利用常见设备和开源 4G LTE 协议软件发起上述这些攻击。 以最为显著的中继攻击为例,它能够让攻击者冒充受害者的电话号码连接到网络,或在核心网络中追踪受害者设备的位置,从而在刑事调查期间设置虚假的不在场信息或种植假证据。 尽管目前 5G 风口正在到来,但离真正普及还需一段时间,近 2 年内 4G LTE 仍是主流,这意味着这些漏洞攻击还将持续很长时间。 稿源:cnBeta、TechWeb,封面源自网络