运营商提供的5G平台,在处理嵌入式设备数据方面存在漏洞。

真正的5G无线数据拥有超快的速度和增强的安全保护,但在全球范围内推广缓慢。随着移动技术的激增——将扩展的速度和带宽与低延迟连接相结合——其最受吹捧的功能之一开始受到关注。但升级伴随着大量潜在的安全风险。

从智能城市传感器到农业机器人等,大量支持5G的设备正在获得连接互联网的能力,这些设备在Wi-Fi不实用或无法使用的地方。个人甚至可能选择用光纤互联网连接换成家庭5G接收器。但据BlackHatsecurityconference的一项研究显示,运营商为管理物联网数据而设置的接口充满了安全漏洞。这些漏洞可能会长期困扰该行业。

经过多年研究移动数据射频标准中潜在的安全和隐私问题,柏林技术大学的研究员AltafShaik表示,很想研究运营商提供的应用程序编程接口(API),以使开发人员可以访问物联网数据。应用程序可以使用这些通道来获取实时总线跟踪数据或仓库中的库存信息。此类API在Web服务中无处不在,但Shaik指出,它们尚未广泛用于核心电信产品中。通过研究全球10家移动运营商的5G物联网API,Shaik和其同事ShinjoPark发现了所有这些运营商 都存在常见但严重的API漏洞,其中一些可以被利用来获得授权访问数据,甚至直接访问网络上的物联网设备。

“知识差距很大。这是电信业一种新型攻击的开始,”Shaik告诉《连线》杂志:“有一个完整的平台,可以访问API、文档和所有内容,其被称为‘物联网服务平台’。每个国家的每个运营商都将销售这种平台,如果没有,也有虚拟运营商和分包商。所以将有大量公司提供这种平台。”

物联网服务平台的设计在5G标准中没有具体规定,而是由每个运营商和公司创建和部署。这意味着它们的质量和实施存在很大差异。除了5G,升级的4G网络还可以支持一些物联网扩展,从而扩大可能提供物联网服务平台和API的运营商数量。

研究人员在其分析的10家运营商中购买了物联网套餐,并为其物联网设备网络购买了专用数据SIM卡。通过这种方式,他们可以像生态系统中的其他客户一样访问这些平台。他们发现,API设置的基本缺陷,比如身份验证薄弱或缺少访问控制,可能会泄露SIM卡标识符、SIM卡密钥、购买者的身份以及其账单信息。在某些情况下,研究人员甚至可以访问其他用户的大量数据流,甚至可以通过发送或回放他们本不应该控制的命令来识别和访问的物联网设备。

研究人员对测试的10家运营商进行了公开程序,并表示,他们目前发现的大多数漏洞都得到了修复。Shaik指出,物联网服务平台上的安全保护质量差异很大,有些看起来更成熟,而另一些“仍然坚持旧的糟糕的安全政策和原则”。其补充道,该组织没有公开调查的运营商名称,因为担心这些问题可能会广泛存在。其中7家位于欧洲,2家位于美国,1家位于亚洲。

Shaik表示:“我们发现,只要在平台上,就可以利用漏洞访问其他设备,即使它们不属于我们。或者我们可以与其他物联网设备交谈,发送消息,提取信息。这是个大问题。”

Shaik强调,当发现不同的缺陷后,并没有对其他客户进行黑客攻击,也没有做任何不当的事情。但其指出,没有一家运营商检测到研究人员的探测,这本身就表明缺乏监控和安全措施。

这些发现只是第一步,但其强调了随着5G的全面广度和规模开始出现,确保大规模新生态系统所面临的挑战。