4G LTE 协议中又现新缺陷

阅读量135520

|评论1

发布时间 : 2018-03-06 16:00:36

x
译文声明

本文是翻译文章,文章原作者 Catalin Cimpanu,文章来源:www.bleepingcomputer.com

原文地址:https://www.bleepingcomputer.com/news/security/researchers-find-new-flaws-in-4g-lte-protocols/

译文仅供参考,具体内容表达以及含义原文为准。

 

普渡大学和爱荷华大学的研究人员在 4G LTE 协议中发现了新漏洞。这些漏洞影响移动设备高速无线通信标准 LTE 的连接、断开和分页程序。

漏洞可导致身份欺骗和信息拦截

研究人员在研究论文中指出,这些缺陷可导致攻击者以不正确的凭证连接到 4G LTE 网络。

攻击者可使用另外一名用户的身份连接到 4G LTE 网络、以另外一名用户的身份发送信息、拦截意在这名用户的信息、欺骗移动设备的位置、甚至是强迫其它设备从移动网络中断开。

研究人员担心这些漏洞问题可能会被利用到真实世界中隐藏严重的犯罪活动。例如,在美国犯罪的人员可能会实施欺骗,让人误以为由于设备连接到和欧盟相关的 LTE 网络蜂窝塔中从而误判他位于欧盟。

通过 LTEInspector 工具发现漏洞

研究人员使用特殊工具 LTEInspector 发现了这些缺陷。缺陷总数为10个,其中9个为已知漏洞。

研究人员已通过使用测试装置和人造移动网络成功利用了其中的8个新漏洞,从而验证了该工具的准确性。这个测试装置由现成设备和软件构建而成。

研究人员指出,“我们通过低成本的软件定义无线电和开源的 LTE 网络堆栈构建了一个测试装置,价格在3900美元左右,我们认为这个价格在对手可负担范围内。”

研究人员已在研究论文(第7页)详细说明了 LTEInspector 工具的情况,同时在 GitHub 上开源了这款工具

尚无修复方案

研究人员认为他们发现的问题不会得到修复。过去也曾发现过类似的 4G LTE 攻击,但至今仍未修复。

研究人员指出,“在不破坏向后兼容性的情况下,回溯性地将安全性添加到现有协议中往往会产生类似创可贴式的解决方案,并无法通过极端审查。尤其对于认证中继攻击而言,目前尚不清楚是否存在一种无需重大基础设施或改造协议的防御措施。”

本文翻译自www.bleepingcomputer.com 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
奇安信代码卫士
分享到:微信

发表评论

奇安信代码卫士

奇安信代码卫士是国内第一家专注于软件开发安全的产品线,产品涵盖代码安全缺陷检测、软件编码合规检测、开源组件溯源检测三大方向,分别解决软件开发过程中的安全缺陷和漏洞问题、编码合规性问题、开源组件安全管控问题。微信公号:codesafe。

  • 文章
  • 387
  • 粉丝
  • 104

热门推荐

Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全KER All Rights Reserved 京ICP备08010314号-66