Специалисты нашли в 4G сетях серьёзные уязвимости
Компания Positive Technologies, специализирующейся на анализе уязвимостей информационных систем, в своём исследовании отметила, что 4G/LTE сети операторов подвержены перехвату SMS сообщений, раскрытию местоположения абонента, Dos-атакам на абонентов и на оборудование операторов. Сети 4G унаследовали полный спектр угроз, актуальный для предыдущих поколений сетей связи, говорится в исследовании.
В прошлом году эксперты Positive Technologies провели исследование уязвимостей 3G-сетей в России, Европе и Азии. Во время его проведения в 80% случаев удалось доказать успешность проведения атак, направленных на сбои в работе, в 77% – возможность перехвата SMS и голосовых вызовов, определения местоположения (при атаках с целью вызвать утечку информации) и в 67% – успешность кражи денег со счетов абонентов и др. при мошеннических атаках. Выборка составляла около 50 мировых операторов.
Каждая исследованная экспертами Positive Technologies сеть 4G на базе сигнального протокола Diameter обладала уязвимостями, позволяющими реализовывать атаки, связанные с определением местоположения абонента, перехватом SMS сообщений и отказом в обслуживании. Одна из функций этого протокола – обеспечение роуминга среди абонентов. Для перехвата SMS злоумышленник изображает обычную схему работы операторов при перемещении абонента в роуминг. Он направляет домашней сети абонента оповещение о том, что абонент-жертва находится в зоне действия другой (поддельной) сотовой сети. В ответ домашняя сеть пересылает в злоумышленнику все входящие сообщения и звонки.
Атакующий может спровоцировать отправку SMS для восстановления пароля в каком-либо сервисе (социальная сеть, мессенджер и т. п.) или для подтверждения денежного перевода, говорится в исследовании. Используя код подтверждения из полученного sms-сообщения, злоумышленник может получить полный доступ к данным профиля пользователя в социальной сети и личной переписке, произвести смену пароля для входа, а также разместить от имени пользователя информацию, которая может нанести вред его репутации. Если речь идет о мобильном банкинге, то злоумышленник может получить доступ к управлению банковским счетом пользователя.
