Eines der größten Features von 5G ist
ein Sicherheits-Minenfeld
Eines der größten Features von 5G ist ein
Sicherheits-Minenfeld
Mobilfunkmasten auf einem Berg in der Ferne bei Sonnenuntergang
Echtes 5G-WLAN Daten mit ihren ultraschnellen Geschwindigkeiten und
verbesserten Sicherheitsvorkehrungen wurden nur langsam auf der ganzen
Welt eingeführt. Da sich die mobile Technologie ausbreitet und
erweiterte Geschwindigkeit und Bandbreite mit Verbindungen mit niedriger
Latenz kombiniert, beginnt sich eine der am meisten angepriesenen
Funktionen zu konzentrieren. Das Upgrade bietet jedoch eine Reihe
potenzieller Sicherheitsrisiken.
Eine riesige neue Population von 5G-fähigen Geräten, von
Smart-City-Sensoren bis hin zu Landwirtschaftsrobotern und darüber
hinaus, gewinnt die Möglichkeit, sich an Orten mit dem Internet zu
verbinden, an denen Wi-Fi nicht praktikabel oder verfügbar ist.
Einzelpersonen können sich sogar dafür entscheiden, ihre
Glasfaser-Internetverbindung gegen einen 5G-Heimempfänger einzutauschen.
Aber die Schnittstellen, die Carrier eingerichtet haben, um
Internet-of-Things-Daten zu verwalten, sind mit Sicherheitslücken
durchsetzt, so eine Studie, die am Mittwoch auf der Black
Hat-Sicherheitskonferenz in Las Vegas vorgestellt wird. Und diese
Schwachstellen könnten die Branche langfristig verfolgen.
Nachdem er jahrelang potenzielle Sicherheits- und Datenschutzprobleme in
Mobilfunk-Daten-Hochfrequenzstandards untersucht hat, ist der Forscher
der Technischen Universität Berlin, Altaf Shaik, neugierig, die
Anwendungsprogrammierschnittstellen (APIs) zu untersuchen, die Carrier
anbieten, um IoT-Daten für Entwickler zugänglich zu machen. Dies sind
die Conduits, die Anwendungen verwenden können, um beispielsweise
Echtzeit-Bus-Tracking-Daten oder Informationen über den Bestand in einem
Lager abzurufen. Solche APIs sind in Webdiensten allgegenwärtig, aber
Shaik weist darauf hin, dass sie in Kerntelekommunikationsangeboten
nicht weit verbreitet sind. Mit Blick auf die 5G-IoT-APIs von 10
Mobilfunkanbietern auf der ganzen Welt fanden Shaik und sein Kollege
Shinjo Park gemeinsame, aber schwerwiegende API-Schwachstellen in allen,
und einige konnten ausgenutzt werden, um autorisierten Zugriff auf Daten
oder sogar direkten Zugriff auf IoT-Geräte im Netzwerk zu erhalten.
"Es gibt eine große Wissenslücke. Dies ist der Beginn einer neuen Art
von Angriff in der Telekommunikation", sagte Shaik vor seiner
Präsentation gegenüber WIRED. "Es gibt eine ganze Plattform, auf der Sie
Zugriff auf die APIs erhalten, es gibt Dokumentation, alles, und es
heißt so etwas wie "IoT-Serviceplattform". Jeder Betreiber in jedem Land
wird sie verkaufen, wenn sie es nicht bereits sind, und es gibt auch
virtuelle Betreiber und Unterverträge, so dass es eine Menge Unternehmen
geben wird, die diese Art von Plattform anbieten. "
Die Pläne von IoT Dienstbühnen werden nicht im 5 G Standard angegeben
und sind bis zu jedem Träger und Gesellschaft, die zu schaffen und
einzusetzen ist. Das bedeutet, dass es verbreitete Schwankungen in ihrer
Qualität und Durchführung gibt. Zusätzlich zu 5 G können verbesserte 4,
die G vernetzt, auch eine IoT Erweiterung unterstützen, die die Anzahl
von Trägern verbreitert, die IoT Dienstbühnen und die APIs anbieten
können, die sie füttern.
Die Forscher kauften IoT Pläne auf den 10 Trägern, die sie analysierten,
und bekommenen speziellen nur Daten-SIM Karten für ihre Netze von IoT
Geräten. Auf diese Weise hatten sie denselben Zugang zu den Bühnen wie
jeder andere Kunde im Ökosystem. Sie stellten fest, dass Grundfehler, in
wie die APIs aufgestellt wurden, wie schwache Bestätigung oder fehlender
Zugang kontrolliert, SIM Kartenkennzeichnungen, SIM
Kartengeheimnisschlüssel zeigen konnten, die Identität von dem, der
kaufte, welche SIM Karte und ihr Abrechnungsdaten. Und in einigen
Fällen, die Forscher konnten sogar auf große Ströme von den Daten der
anderen Benutzer zugreifen oder sogar auf ihre IoT Geräte durch Senden
oder Wiederholen von Befehlen identifizieren und zugreifen, dass sie
nicht hätten in der Lage zu kontrollieren sein sollen.
https://www.wired.com/story/5g-api-flaws/