×
4g-lte-antenne.png
Een groep academici uit Zuid-Korea hebben geïdentificeerd 36 nieuwe kwetsbaarheden in de Long-Term Evolution (LTE) standaard gebruikt door duizenden van mobiele netwerken en de honderden miljoenen gebruikers over de hele wereld.
De kwetsbaarheden aanvallers te verstoren mobiele basisstations, blokkeren van inkomende oproepen naar een apparaat, koppelt u de gebruikers van een mobiel netwerk, misleidende SMS-berichten, en af te luisteren en manipuleren van gegevens van de gebruiker van het verkeer.
Ze werden ontdekt door een vier-persoons onderzoeksteam van de Korea Advanced Institute of Science and Technology Grondwet (KAIST), en gedocumenteerd in een research paper, ze willen aanwezig zijn op de IEEE Symposium over Veiligheid en Privacy in eind Mei 2019.
Kwetsbaarheden gevonden met behulp van fuzzing
Het onderzoeksteam van de ontdekkingen zijn niet echt nieuw. Verschillende academische groepen hebben vergelijkbare kwetsbaarheden geïdentificeerd in LTE is de afgelopen jaren op tal van gelegenheden –juli 2018, juni 2018, Maart 2018, juni 2017, juli 2016, oktober 2015 (paper geschreven door een andere KAIST team).
Deze kwetsbaarheden zijn de drijvende kracht achter de inspanningen om de nieuwe en verbeterde 5G standaard –die, helaas, is dat niet veilig is, met sommige onderzoekers al prikken gaten in het als goed.
Maar wat onderscheidt zich van eerdere werk is het grote aantal kwetsbaarheden in de KAIST team ontdekt, en de manier waarop ze het deden.
De koreaanse onderzoekers zeiden dat ze vonden 51 LTE kwetsbaarheden, waarvan 36 zijn nieuw en 15 werden voor het eerst geïdentificeerd door andere onderzoeksgroepen in het verleden.
Ze ontdekte dat grote aantal fouten met behulp van een techniek die bekend staat als fuzzing –een code testen van de methode die ingangen van een grote hoeveelheid van willekeurige gegevens in een applicatie en analyseert de output van de afwijkingen, die, op hun beurt, geven de ontwikkelaars een hint over de aanwezigheid van eventuele fouten.
Fuzzing is al jaren gebruikt, maar vooral met desktop-en server-software, en zeer zelden voor alles.
KAIST gebouwd zijn eigen LTE fuzzer
Volgens de KAIST papier, gezien door ZDNet voorafgaand aan de IEEE presentatie, onderzoekers bouwden een semi-geautomatiseerd testen gereedschap genaamd LTEFuzz, die ze gebruikt om ambachtelijke schadelijke verbindingen te maken met een mobiel netwerk, en vervolgens analyseren van het netwerk reactie.
De resulterende kwetsbaarheden, zie de afbeelding hieronder of dit Google Docs vel, waren gelegen in zowel het ontwerp en de uitvoering van de LTE-standaard tussen de verschillende providers en toestel fabrikanten.
Beeld: Kim et al.
×
ltefuzz-resultaten.png
De KAIST team zei dat het aangemelde zowel de 3GPP (orgaan van de industrie achter LTE-standaard) en de GSMA (orgaan van de industrie die staat voor mobiele operators), maar ook de bijbehorende baseband chipset leveranciers en leveranciers van netwerkapparatuur op wiens hardware traden ze de LTEFuzz tests.
Omdat de fouten zich bevinden in zowel het protocol zelf en hoe sommige leveranciers hebben geïmplementeerd LTE in hun apparaten, onderzoekers geloven vele andere gebreken nog steeds bestaan in de echte wereld.
Bovendien, hun fuzz testen van de procedures gewerkt met een LTE-verbindingen in hun oorspronkelijke staten, vóór de eventuele uitwisseling van cryptografische sleutels, van betekenis meer beveiligingslekken te wachten om te worden ontdekt in toekomstige testen, die onderzoekers zeiden dat ze van plan zijn te ondernemen.
Aanvullende informatie kan worden gevonden in de KAIST team papier, getiteld “Touching the Untouchables: Dynamische Beveiliging Analyse van de LTE-Control Plane.”
Meer kwetsbaarheid rapporten:
Ernstige security bug gevonden in de populaire PHP-bibliotheek voor het maken van PDF-filesFDA waarschuwing: Scores van hart implantaten kunnen worden gehackt van 20ft afstand
Google Foto ‘ s kwetsbaarheid te kunnen hackers halen beeld metadataMicrosoft op te lossen ‘roman bug klasse’ ontdekt door Google engineerZero-dag in WordPress SMTP-plugin misbruikt door twee hacker groupsNokia firmware blunder verzonden gebruikersgegevens te ChinaDJI correcties kwetsbaarheid waarmee potentiële hackers spy drones op CNETTop 10 app kwetsbaarheden: Ongepatchte plug-ins en extensies domineren TechRepublic
Verwante Onderwerpen:
Telco ‘ s
Beveiliging TV
Data Management
CXO
Datacenters