腾讯安全玄武实验室报告的5G消息漏洞,该5G背锅吗?

原创 Kbet365  2020-10-27 19:50 

作者:易柏伶

在GeekPwn 2020 国际安全极客大赛上,腾讯安全玄武实验室高级研究员李冠成、戴戈演示了一项最新的5G消息安全研究发现:利用5G消息所采用的通信协议的设计问题,黑客可以“劫持”同一个基站覆盖下的任意一台手机的TCP通讯,包括各类短信收发、App和服务端的通信均有可能被劫持。

5G消息漏洞,是5G的问题还是其它问题?

5G消息是短信业务的升级,是运营商的一种基础电信服务,基于IP技术实现业务体验升级,支持的媒体格式更多,表现形式更丰富。

玄武实验室表示,此项漏洞是通信协议漏洞,不依赖于任何特定设备或者网络环境,只要攻击者和被攻击者处于同一个基站覆盖下就可以完成攻击,并且整个过程用户侧毫无感知。“5G、4G、3G通信协议中均存在这个漏洞。”

玄武实验室认为,这意味着用户收到一条显示为“955**”的银行短信或者App消息推送有可能来自未知的恶意用户。黑产团伙进而可以引导受害者点击被植入木马的链接,窃取银行卡信息,或者伪造其手机号向其家人发短信要求转账,甚至劫持相关HTTP访问,造成用户账号密码等敏感信息泄露。

对此,电信分析师付亮对第一财经记者表示,这实际与5G无关,是通信协议中短消息的一个漏洞,短消息的安全等级本身就比较低。从内容看,这是通过假冒终端侵入基站向同一基站下的其他设备发送信息,与之前的伪基站类似,区别在于,现在可以发送多媒体信息了,原来是短信,现在是彩信。侵入的方式还是诱导用户实施一些行为,假冒打款需求、诱导用户点击超链实现木马病毒或假冒APP下载安装等,无论是哪种,都非常致命,危害确实极大。“但目前IOS禁止安装外部应用,安卓平台大多有安装外部应用提醒,可阻止大部分应用的安装。”

付亮强调,这种危险本身不涉及银行账号安全,但银行或网银支付工具应通过流程优化,尽最大可能阻止用户信息泄露带来的资产异常流动。从安全等级看,身份信息、银行支付信息、手机号码信息、互联网应用实名注册信息,安全级别逐步降低,位居前面的可以为后面的安全背书,但反过来不可以。“例如,手机号+验证码,可作为互联网应用实名登记工具,但不能单独为支付宝支付背书。”

由此,付亮认为,腾讯安全玄武实验室报告的5G消息漏洞,其实与“5G消息”无关,是传统的短信模式的漏洞。

但漏洞引发的安全隐患不容忽视。玄武实验室负责人此前向第一财经记者透露,玄武实验室将通知国家信息安全主管部门,也会跟相关标准组织知会此项漏洞。

本文地址:http://www.grithartung.com/256.html
版权声明:本文为原创文章,版权归 Kbet365 所有,欢迎分享本文,转载请保留出处!

发表评论


表情