0
Pijlstaartroggen zijn controversiële toezicht apparaten die worden bijna uitsluitend gebruikt door de lokale politie en de rechtshandhaving. (Afbeelding: foto bestand)
Beveiliging onderzoekers hebben aangetoond een recent ontdekt beveiligingslek in de moderne, high-speed mobiele netwerken, waarvan ze zeggen dat ze kunnen low-cost telefoon surveillance en locatie volgen.
De bevindingen, bleek woensdag op de Black Hat-conferentie in Las Vegas, detail van een cryptografische fout in het protocol dat wordt gebruikt in de 3G-en 4G-LTE-netwerken, die het mogelijk maakt voor mobiele apparaten te verbinden met de mobiele operator.
Het is de laatste klap voor de lang gekoesterde overtuiging dat moderne mobiele standaarden en protocollen zijn grotendeels immuun zijn voor het bijhouden en controleren, in tegenstelling tot de oudere 2G cel protocol maakt gebruik van de easy-to-encryptie te breken.
Ravi shankar, Borgaonkar en Lucca Hirschi, die co-auteur van het onderzoek, het vinden van een zwakte in de authentication and key agreement, waarmee een telefoon veilig communiceren met de abonnee het mobiele netwerk. De overeenkomst protocol is gebaseerd op een teller die is opgeslagen op de telefoon operator de systemen van het apparaat te verifiëren en om te voorkomen dat replay-aanvallen, maar de onderzoekers vonden dat de teller niet goed beschermd en gedeeltelijk lekken. Dat kan door een aanvaller worden gebruikt om te controleren consumptie patronen, zoals wanneer oproepen zijn gemaakt en wanneer de sms-berichten worden verzonden, en het bijhouden van de fysieke locatie van een mobiele telefoon.
Maar de fout verbiedt het aftappen van gesprekken of sms-berichten.
Deze fout kan de weg effenen voor een volgende generatie van stingray apparaten, ook wel bekend als cel-site (of IMSI) simulatoren.
Deze zeer omstreden toezicht apparaten zijn gehuld in geheimzinnigheid, maar worden bijna uitsluitend gebruikt door de lokale politie en de handhaving van de wet, vaak zonder warrants, voor het uitvoeren van willekeurige mobiele surveillance. Ze verleiden mobiele telefoons in downgraden naar de zwakkere 2G-standaard te gemakkelijk onderscheppen van communicatie-en track-locaties van iedereen in de omgeving.
Borgaonkar vertelde ZDNet dat dit fout zou aanvallers het bouwen van de “next generation” stingray apparaten.
“Vanwege de lage kosten hardware en software, zouden we niet worden verrast om te zien criminele stalking en intimidatie om meer alledaagse monitoring van de echtgenoot of werknemer bewegingen, evenals profilering voor de commerciële-en reclame doeleinden,” zei hij.
De hardware kost zo weinig als $1,500, kleine verandering van een geavanceerde hacker, en nog minder voor een goed gefinancierde police department of intelligence unit.
Borgaonkar uitgelegd dat een stingray-stijl aanval kan een aanvaller op afstand die slechts sporadisch in de buurt van een doel om te leren van het doel van de activiteit op elk moment. Een aanvaller gelegen op een ambassade, bijvoorbeeld (vaak waar de natie-staat surveillance apparatuur) in staat zal zijn om de activiteit te controleren van consulaire medewerkers, zelfs als ze niet op het kantoor.
Borgaonkar academische collega ‘ s in Duitsland voerde een aantal succesvolle proof-of-concept aanval op verschillende Europese mobiele netwerken.
Omdat de zwakte is een onderdeel van de 3G-en 4G-standaard, de onderzoekers zeggen dat de fout “is van invloed op alle operatoren overal ter wereld,” en de meerderheid van de moderne apparatuur.
De onderzoekers zeggen dat “heel weinig” kan worden gedaan om te beschermen tegen dit soort aanvallen, voor een deel omdat de mobiele besturingssystemen niet detecteren radio-niveau aanvallen.
3GPP, een consortium van telecom-norm organisaties die ontwikkeld is voor de kwetsbare protocol, erkende de fout en, volgens de onderzoekers hopen dat het probleem zal worden opgelost in de aankomende 5G normen.
Een woordvoerder niet terug van een verzoek om commentaar.
Neem Contact met mij goed
Zack Whittaker kan worden bereikt stevig Signaal en WhatsApp op 646-755-8849, en zijn PGP vingerafdruk voor e-mail is: 4D0E 92F2 E36A EC51 DAAE 5D97 CB8C 15FA EB6C EEA5.
Zwarte Hoed 2017
Dump de slang olie en beveiliging van de onderzoekers van respect
Gij zult veilig zijn: RSA zegt dat je niet kunt dwingen in de particuliere sector te breken encryptie
iCloud lek gestoken iPhone, Mac wachtwoorden in gevaar zijn
Nieuwe details op Drosophila, een bijna niet op te sporen Mac backdoor
Pwning het mainframe: Hoe hack de “veiligste” platform op aarde
Lek in 3G, 4G LTE-netwerken kunt hackers track telefoon locaties
CNET: Deze goedkope telefoons komen op een prijs van uw privacy
0