Een nieuwe ernstige cryptografische kwetsbaarheid is geweest ontdekt in de moderne, high-speed mobiele netwerken. De fout, bleek tijdens de Black Hat-conferentie in Las Vegas, kon betaalbare telefoon surveillance en locatiebepaling mogelijk te maken. De 3G en 4G-apparaten wereldwijd ingezet zijn kwetsbaar voor IMSI catcher aka Stingray apparaten, onderzoekers verklaren.
De bevindingen tonen een cryptografische fout in het protocol dat wordt gebruikt in 3G en 4G LTE-netwerken voor apparaten te verbinden met de operator. Het onderzoek zelf is co-auteur van Ravishankar Borgaonkar en Lucca Hirschi.
Cryptographic Fout in 3G en 4G netwerken
Het beveiligingslek wordt gebaseerd op een zwakke plek in de authenticatie en de belangrijkste overeenkomst laat het apparaat communiceert veilig met het netwerk. De overeenkomst protocol is gebaseerd op een teller in de systemen van de exploitant van het apparaat beperkt tot het apparaat en de teller replay-aanvallen te verifiëren.
Echter, de twee onderzoekers ontdekten dat de teller niet wordt bewaakt de juiste wijze leidt tot lekken. Het lek kan een aanvaller in staat stellen om te spioneren op het gedrag van de gebruiker en de oprichting van een patroon (wanneer gesprekken worden gemaakt, wanneer SMS-berichten worden verzonden, etc.). Bovendien, Een aanvaller kan ook de fysieke locatie van de telefoon te volgen. Wat de fout niet doet is toestaat gesprek of tekstbericht onderschepping.
De opkomst van de Next-Generation Stingray Devices?
Welke veiligheidsmaatregelen onderzoekers en privacy experts vrezen het meest is dat een dergelijke kwetsbaarheid van de deur voor een volgende generatie van pijlstaartrog apparaten die worden beschreven als zeer controversieel apparaten voor de bewaking kon openen. Hoewel het gebruik van dergelijke apparaten meestal wordt gehouden in het geheim, het is een bekend feit dat politie en justitie zijn ze met behulp van, zelfs zonder de nog uitstaande warrants, aan het toezicht op mobiele telefoons uit te voeren. Kort gezegd, pijlstaartrog apparaten truc mobiele telefoon in te downgraden naar de zwakkere en verouderde 2G standaard, zodat het makkelijker is om mensen te volgen en te onderscheppen hun communicatie.
In een gesprek met ZDNet, de onderzoekers zei dat ze niet zouden worden verrast om te getuigen criminele stalking en intimidatie “om meer alledaagse controle van de echtgenoot of werknemer bewegingen, evenals profiling voor commerciële en reclame doeleinden".
De totale kosten van de hardware is ergens rond $1,500 en kon worden aantrekkelijk voor hackers evenals politie en justitie.
Het ergste is dat de ontdekte kwetsbaarheid heeft gevolgen voor alle operators wereldwijd, omdat het deel uitmaakt van een zwakke plek in de 3G en 4G-normen. De meeste moderne apparaten zijn ook gevoelig voor de exploit.
Ten slotte, niet veel gedaan kan worden om te beveiligen tegen dergelijke aanvallen. 3GPP, een consortium van telecom standaard organisaties bekend dat de kwetsbare protocol hebben ontwikkeld, zijn nu bewust van het probleem. Hopelijk, de fout zal in de toekomst 5G normen worden aangepakt.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: