ce安全网绿色资源分享

教程资讯|常用软件|安卓下载|下载排行|最近更新

软件
软件
文章
当前位置:首页网络安全网络安全新闻 → 4G网络发现漏洞:可窃取用户个人信息、发送虚假信息等

4G网络发现漏洞:可窃取用户个人信息、发送虚假信息等

时间:2018-03-08 00:00:00人气:作者:本站作者我要评论

4G网络发现漏洞:可窃取用户个人信息、发送虚假信息等

普渡大学和爱荷华大学的研究人员经过研究调查在4G LTE网络中发现了大量新的漏洞,它们能够偷窥用户的信息、窃听他们的电话、让设备脱机甚至发出虚假紧急警报。研究人员在响应的报告中详细描述了10种攻击。

4G网络发现漏洞:可窃取用户个人信息、发送虚假信息等

这些漏洞可以通过模拟现有用户的身份发起验证中继攻击。虽然验证中继攻击算不上是什么新鲜的攻击方式,但最新的研究却显示,它们可以被用来拦截信息、追踪用户的位置并阻止手机连接网络。利用这个漏洞可以进行虚假信息的编造,还可以监听用户和地址追踪。

在5G正在部署的当下阶段,我们也应当注意本次发现的 4G 问题:漏洞是出现在 LTE 协议之中,这意味着该漏洞可能会波及到整个行业。

漏洞对于用户设备能够影响到的环节是:

1. 连接环节 :即将用户设备与网络相关联的过程(例如,用户打开手机)

2. 分离环节:用户关闭设备,网络会与设备断开连接的过程(又如,由于信号质量差无法进行网络验证)

3. 寻呼环节: 本环节本是建立呼叫的一部分,通常用于强制设备重新获取系统信息,并用于紧急警报

研究员在其论文中 论文 (PDF) 中描述了一款名为 LTEInspector 的漏洞攻击工具,其中可以运行10种全新的攻击方法。影响最大的是是中继攻击,他们可以重放验证,让攻击者冒充受害者来接入网络。这样,即使该用户在巴黎也可以将位置信息变成伦敦,形成完美的不在场证明。

更让人担心的是,研究员在论文中也表达了对于漏洞修复可行性的怀疑:在现有协议的基础上额外增加安全性能修复会很难实现。

协议层攻击

针对连接环节的攻击方法包括:伪造来自恶意设备的 attach_request 信息来阻止受害者的手机的连接; 通过恶意节点跟踪用户(使用security_mode_command指令进行“可跟踪性攻击”); 服务中断攻击,该攻击注入恶意控制命令,也使用恶意节点(如Stingray)。

而通过寻呼过程进行的攻击可以耗尽受害者的电池,迫使目标设备重新连接到网络中。针对分离协议的攻击也需要受害者连接到恶意节点。

进阶工具: LTEInspector

研究团队发布的攻击工具是 LTEInspector,他们将次视作一款模型检查器和加密协议验证的“偷懒”组合。LTEInspector 在使用时可以自动检查进程和操作顺序,进行消息构建和加密,以及进行其他富约束。

LTEInspector 会对设备的以下属性进行检查:真实性/禁止假冒),可用性/防止拒绝服务,完整性/限制未授权,以及用户敏感信息的保密性/防止活动分析。

相关文章

猜你喜欢

  • Ougishi绿色版下载 V4.00 中文版

    2020-06-19 / 561k

  • 谷歌地图下载助手睿智版破解下载 V9.5绿色版

    2020-06-19 / 32.7M

  • OfficeFIX中文破解版V6.110 注册版

    2020-06-19 / 26.8M

  • Plotagraph破解版V1.2.0 免费版 32/64位

    2020-06-19 / 31.5M

  • IP查详细地址工具下载 V1.1 官方免费版

    2020-06-19 / 408K

  • 内存扫把中文版下载V1.97绿色版

    2020-06-19 / 1.3M

网友评论

验证码:

请自觉遵守互联网相关政策法规,评论内容只代表网友观点,与本站立场无关!

最新评论

已有人参与,点击查看更多精彩评论

关于CE安全网 | 联系方式 | 发展历程 | 版权声明 | 下载帮助(?) | 广告联系 | 网站地图 | 友情链接

Copyright 2019-2029 cesafe.com 【CE安全网】 版权所有 蜀ICP备19039426号-2| 蜀ICP备19039426号-2

声明: 本站为非赢利性网站 不接受任何赞助和广告 所有软件和文章来自互联网 如有异议 请与本站联系 技术支持:ce安全网