Новые исследования выявили уязвимость, затрагивающую все телекоммуникационные сети 4G и некоторые сети 5G.
Исследование безопасности диаметральных сетей, проведенное компанией Positive Technologies, показало, что слабые места в протоколе диаметральной сигнализации означают, что 100% сетей 4G подвержены атакам типа "отказ в обслуживании" (DoS).
Протокол сигнализации диаметра используется для аутентификации и авторизации сообщений и распространения информации в сетях 4G. Он является важнейшим компонентом в LTE, облегчая трансляцию и обмен данными между элементами сети интернет-протокола.
Исследователи обнаружили, что каждая попытка внедриться в 28 операторов связи в Южной Америке, Азии, Европе и Африке с помощью атак в период с 2018 по 2019 год была успешной.
Полученные результаты являются не только плохими новостями для 4G; уязвимости в протоколе являются проблемой для любых сетей 5G, построенных на базе предыдущего поколения сетей, использующих одно и то же ядро сети LTE. Сети, подключенные таким образом, могут быть подвержены тем же самым угрозам, таким как отслеживание местоположения пользователей и получение конфиденциальной информации.
Исследователи предупреждали, что пользователи 5G сетей, которые изобилуют слабостями, унаследованными от их 4G предшественников, могут столкнуться с тем, что их службы будут понижены до небезопасных 3G сетей.
Дмитрий Курбатов, технический директор компании Positive Technologies, сказал: "Многие крупные мобильные операторы уже начинают развертывание своих сетей 5G, и поэтому отрасли необходимо избегать повторения ошибок прошлого, имея фронт безопасности и центр любого сетевого проектирования". Если оставить это без внимания, их сети 5G не будут застрахованы от тех же уязвимостей, что и сети предыдущего поколения".
Другие уязвимости, обнаруженные в протоколе диаметра, позволяют внешним субъектам отслеживать местоположение абонента и получать конфиденциальную информацию об абоненте. Эта информация впоследствии может быть использована для перехвата голосовых вызовов в обход ограничений на мобильные услуги.
"Компания Gartner прогнозирует, что к 2021 году будет подключено 25 миллиардов устройств IoT. Таким образом, атака на отказ в обслуживании становится гораздо более масштабной, чем просто медленное интернет-соединение, не позволяющее разместить картинку в Instagram", - сказал Курбатов.
"Это может негативно отразиться на городах, которые начинают использовать IoT-устройства различными способами - от национальной инфраструктуры до промышленности".