В России создали модель для проверки безопасности 5G-протоколов

Екатерина Быстрова 10 Июля 2025 - 13:03

Системы для анализа защищенности информационных систем

...

В России создали модель для проверки безопасности 5G-протоколов

Компания «Криптонит» представила инструмент для анализа протоколов анонимной аутентификации в сетях 5G. Разработка получила название sigmaAuth (σAuth). Она помогает находить уязвимости в протоколах связи и подтверждать их устойчивость к атакам с помощью строгих математических доказательств.

Новая модель уже применяется для оценки безопасности отечественных решений 5G-AKA-GOST и S3G-5G, которые сейчас проходят стандартизацию в техническом комитете ТК26.

Предполагается, что σAuth станет основой для доработки протоколов защиты от атак на анонимность, повторное использование сообщений и компрометацию ключей.

Актуальность разработки подтверждает и статистика: по данным GSMA Intelligence, в конце 2024 года по всему миру было уже около 2 млрд подключений к сетям 5G. Причём речь идёт не только о смартфонах, но и о промышленном оборудовании, транспорте, IoT-датчиках.

Всё это расширяет потенциальную поверхность атак, особенно в части аутентификации — процессе, при котором злоумышленники могут подделывать цифровые идентификаторы, перехватывать сообщения или отслеживать пользователей.

По словам разработчиков, σAuth позволяет формализовать понятие анонимности и учитывать сценарии, в которых, например, злоумышленник получает доступ к IoT-устройствам. Особое внимание в модели уделено защите идентификаторов вроде IMSI и SUPI, которые важны для сохранения конфиденциальности.

Модель основана на концепции «доказуемой стойкости» — это когда безопасность протокола подтверждается через строгую математическую проверку. Такой подход может быть полезен не только для 5G, но и для других цифровых инфраструктур.

Ранее рабочая группа SA3 в рамках 3GPP одобрила протокол ECIES+5G-AKA, также разработанный специалистами «Криптонита». Кроме того, российские криптографы предложили усовершенствованную схему аутентифицированной выработки ключей для 5G-AKA-GOST.

В пролом году мы писали, что специалисты компании «Криптонит», входящей в «ИКС Холдинг», разработали криптографический механизм «Кодиеум», особенностью которого является устойчивость к атакам с квантовых компьютеров. «Кодиеум» позволяет безопасно передать ключ шифрования при создании защищённого соединения.

Следующая главная новость »

Многофакторная аутентификация 2026 - обсудим в эфире AM Live! Регистрируйтесь »

Екатерина Быстрова 02 Февраля 2026 - 13:42

Android Трояны Домашние пользователи Google

Android-троян Arsink прячется в облаках Google и заражает тысячи устройств

Исследователи обнаружили масштабную кампанию с использованием нового Android-трояна Arsink, открывающего удалённый доступ к девайсу жертвы. Вредонос не просто ворует данные, а фактически отдаёт заражённое устройство под полный контроль злоумышленников. При этом он умело прячется за легитимными сервисами Google и популярными мессенджерами.

По данным аналитиков, Arsink активно использует доверенную облачную инфраструктуру для управления и вывода данных.

В одних сборках вредонос загружает фото, аудио и другие крупные файлы через Google Apps Script прямо в Google Drive. В других — опирается на Firebase Realtime Database и Firebase Storage, иногда дополняя схему телеграм-ботами для быстрой эксфильтрации. Такой подход позволяет маскировать C2-трафик под обычную работу облачных сервисов.

Масштабы кампании впечатляют. За время наблюдений специалисты зафиксировали 1 216 уникальных APK-хешей, что говорит о постоянной пересборке вредоносных приложений и высокой «текучке» версий. Из них 774 образца содержали логику загрузки данных через Google Apps Script, а всего было обнаружено 317 уникальных Firebase-ендпоинтов, использовавшихся как C2 или хранилища. Анализ инфраструктуры позволил восстановить около 45 тыс. уникальных IP-адресов жертв.

Распространяется Arsink в основном через социальную инженерию. Вредоносные APK распространяют в телеграм-каналах, Discord-сообществах и через прямые ссылки на файлообменники вроде MediaFire. В качестве приманки используются поддельные версии приложений более чем 50 известных брендов — от Google, YouTube и WhatsApp до Instagram, Facebook (WhatsApp, Instagram, Facebook принадлежат корпорации Meta, признанной экстремисткой и запрещённой в России) и TikTok.

Чаще всего это версии «mod», «pro» или «premium», которые обещают расширенные функции, но на деле почти не имеют полезной функциональности.

После установки такие приложения быстро запрашивают опасные разрешения и практически незаметно уходят работать в фоне. Исследователи выделили несколько операционных вариантов Arsink: версии с Firebase и Apps Script, варианты с прямой отправкой данных в Telegram, а также дропперы, которые извлекают вторичный APK прямо из ресурсов приложения.

Возможности трояна весьма широки. Он собирает идентификаторы устройства, внешний IP-адрес, приблизительное местоположение, адреса Google-аккаунтов, СМС-сообщения, журналы вызовов и контакты. Помимо этого Arsink может записывать звук с микрофона, перечислять фото и файлы во внешнем хранилище, управлять файлами, инициировать звонки, включать фонарик, вибрацию, выводить сообщения и даже стирать данные на карте памяти.

В Google подчеркнули, что известные версии Arsink не распространяются через Google Play, а Play Protect может блокировать подозрительные приложения, включая установленные из сторонних источников.

Многофакторная аутентификация 2026 - обсудим в эфире AM Live! Регистрируйтесь »