Уязвимости 5G, 4G и 3G раскрывают местонахождение пользователей
Главная » Новости

Уязвимости 5G, 4G и 3G раскрывают местонахождение пользователей

Олег Иванов 05 Февраля 2019 - 10:09
...
Уязвимости 5G, 4G и 3G раскрывают местонахождение пользователей

Исследователи продолжают находить проблемы безопасности пятого поколения мобильной связи — 5G. На этот раз, как утверждают эксперты, уязвимости кроются в протоколе AKA, который призван обеспечивать безопасность мобильной связи.

Усовершенствованный вариант протокола AKA, который внедрили для безопасности 5G, должен был решить проблему так называемых IMSI-ловушек, благодаря которым злоумышленники могут наблюдать за устройствами пользователей.

К сожалению, на деле оказалось, что устранить вышеозначенную проблему 5G AKA не в состоянии, причиной чему являются серьезные недостатки в изначальной реализации AKA. Об этом говорится в докладе экспертов New Privacy Threat on 3G, 4G, and Upcoming 5G AKA Protocols (PDF).

Принцип работы IMSI-ловушек заключается в создании определенных условий, при которых устройства будут подключаться к ним, а не к реальным легитимным станциям. Соответственно, при успешной реализации у злоумышленника открывается целое поле для вредоносной деятельности.

Например, атакующий может идентифицировать владельца устройства и установить его физическое местоположение.

Почему же протокол 5G AKA не в состоянии уберечь пользователей от подобных атак? По словам исследователей, вся проблема кроется в наследовании архитектуры 5G AKA у стандартов прошлого поколения — 3G и 4G AKA.

Таким образом, атакующий может нивелировать все защитные функции атакой, которую эксперты называют «атакой мониторинга активности».

В сущности, злоумышленник может идентифицировать пользователя без доступа к данным — просто мониторя Sequence Numbers (SQNs), этот номер устанавливается каждый раз, когда устройство подключается к мобильной сети.

Другими словами, злоумышленник не сможет получить доступ к контенту или метаданным, однако вполне будет в состоянии вычислить устройство и самого абонента.

Проблема IMSI-ловушек, к слову, очень распространена. Летом прошлого года Департамент национальной безопасности США обнаружил, что IMSI-ловушки использовались в непосредственной близости от объектов особой важности, таких как Белый дом.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Приобретенная хакерами EDR выдала все секреты их кухни
Татьяна Никитина 10 Сентября 2025 - 20:06
Утечки информацииСлучайные утечкиСлучайное разглашение данных Домашние пользователи Защита конечных точек сетиСистемы обнаружения целевых атак на конечных точках сети (EDR)
Приобретенная хакерами EDR выдала все секреты их кухни

Роковая ошибка злоумышленников позволила вендору защитных решений получить представление об их ежедневных операциях — о поиске мишеней, подготовке фишинговых рассылок, использовании инструментов атаки.

Заглянуть за кулисы хакерской жизни Huntress удалось благодаря алертам ее EDR о подозрительной активности на одном из подопечных хостов. Как оказалось, уникальное имя компьютера уже засветилось в связи с несколькими киберинцидентами.

В ходе анализа данных телеметрии, проведенного командой SOC, выяснилось, что их EDR-агент злоумышленники установили в ходе поиска в Google подходящего СЗИ от Bitdefender: они попросту перешли по ссылке в рекламе аналога, предложенного для пробы.

Найденные артефакты также показали, что на машине запущен еще один защитный продукт — от Malwarebytes. Его могли использовать по прямому назначению либо с целью тестирования вредоносного кода.

Изучение истории браузера окончательно подтвердило, что хост является частью инфраструктуры, созданной для проведения атак. За неполных три месяца наблюдений его владельцы заходили на сайты различных компаний и выявляли их партнерские связи через веб-сервисы ReadyContacts, InfoClutch и BuiltWith.

Кроме того, они проводили через Censys поиск активных экземпляров Evilginx (инструмент с открытым кодом, зачастую используемый для проведения AitM-атак) и пытались получить доступ к таким серверам.

В рамках разведки в целевых сетях применялись инструменты сбора и анализа данных — Bloodhound, GraphSpy, TeamFiltration. Походящие цели злоумышленники выискивали в Telegram, используя его боты; персонализированные письма им сочиняли ИИ-ассистенты, а перевод текстов осуществлялся с помощью Google Translate.

Чтобы скрыть вредоносную активность, оформлялись подписки на частные прокси (зафиксированы заходы на страницы расценок LunaProxy и Nstbrowser). Вредоносные коды и ссылки тестились на VirusTotal и urlscan.

 

Судя по IP-адресу и часовому поясу в настройках, хакерский хост находится на западном побережье США. География интересов его владельцев при этом зачастую выходит за пределы страны, а мишенями в основном служат банки, криптобиржи, госструктуры, риелторские и ИТ-компании.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
ZIP, RAR и 7Z: брешь Zip Slip снова бьёт по популярным форматам
Новость
ZIP, RAR и 7Z: брешь Zip Slip снова бьёт по популярным форма...
Российские учёные ускорили обучение нейросетей в распределённых системах
Новость
Российские учёные ускорили обучение нейросетей в распределён...
Вредонос Skynet обходит анализаторы на базе ИИ путем инъекции в промпты
Новость
Вредонос Skynet обходит анализаторы на базе ИИ путем инъекци...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.