В сетях 4G возможны перехват SMS и слежка за абонентами

Логотип компании
04.07.2017
В сетях 4G возможны перехват SMS и слежка за абонентами
Компания Positive Technologies представила аналитический отчет о защищенности Diameter —одного из основных сигнальных протоколов в сетях четвертого поколения.

Компания Positive Technologies представила аналитический отчет о защищенности Diameter —одного из основных сигнальных протоколов в сетях четвертого поколения. В 2016 году каждая исследованная экспертами Positive Technologies сеть 4G на базе сигнального протокола Diameter обладала уязвимостями, позволяющими злоумышленникам перехватить SMS-сообщения (в том числе с банковскими одноразовыми паролями), определить местоположение абонента, заблокировать пользователям доступ к сети связи и выполнить другие нелегитимные действия.

В отчете отмечается, что любой злоумышленник, обладающий достаточным уровнем компетенций, или специальная группа могут с легкостью заполучить информацию о текущем месторасположении абонента, а затем использовать ее при слежке, шпионаже или для публичного разглашения сведений о перемещениях абонента.

Для реализации большинства атак на абонента злоумышленнику необходимо выдать себя за роуминг-партнера и заполучить международный идентификатор абонента мобильной сети (IMSI). В документе приводятся несколько техник, позволяющих узнать IMSI абонента — в частности, раскрытие этого идентификатора возможно через уязвимости сигнального протокола SS7.

Проблемы с конфигурацией оборудования и сервисов позволяют перехватить пользовательские данные, в том числе SMS-сообщения. Эту возможность злоумышленник может использовать для получения доступа к системе ДБО, в которой для подтверждения входа пользователя используются временные пароли, пересылаемые по SMS. Перехватив временный пароль, атакующий получит полный доступ к интернет-банку пользователя и может похитить все денежные средства, которыми тот располагает.

Важно отметить, что оповещения о транзакциях в случае несанкционированного перевода могут оказаться бесполезны, так как ряд фундаментальных особенностей реализации протокола Diameter позволяют атакующему заблокировать пользователю доступ к сети связи. В результате абонент не будет получать уведомления ни через SMS-сообщения, ни по электронной почте — в связи с блокировкой услуг, предоставляющих доступ к мобильному Интернету. Более того, после перехвата денежных средств пользователь не сможет связаться с банком, чтобы произвести блокировку счета, поскольку оборудование оператора будет «считать», что он находится в другом регионе, и постоянно отключать его от сети.

Помимо DoS-атаки, направленной на абонента, злоумышленник потенциально может проводить аналогичные атаки и против оборудования оператора, нарушая его работу и вызывая прерывание предоставления услуг связи уже не одному, а множеству абонентов атакуемого оператора. Каждый второй элемент исследованных сетей можно было вывести из строя направляемым ему пакетом со всего лишь одним неправильным битом.

Эксплуатация уязвимостей Diameter может осуществляться и с целью мобильного мошенничества. В отчете описаны сценарий атак, при которых злоумышленнику становятся доступны бесплатные услуги связи, такие как звонки, SMS, передача данных за счет оператора либо других абонентов, что приводит к прямой потере денег оператором.

Смотреть все статьи по теме "Информационная безопасность"

Читайте также
Проект «Экономика данных» обещает упростить жизнь: сделать госуслуги доступнее, Интернет — ближе даже к самым удаленным регионам, а проблемы с цифровым неравенством — менее заметными. Развитие искусственного интеллекта, поддержка ИТ-компаний и обучение специалистов — все это части большого плана, чтобы в будущем Россия могла уверенно войти в число цифровых лидеров. Как эти идеи будут работать на практике и что они изменят для каждого из нас? В интервью журналу IT Manager директор департамента цифровой трансформации и координации бюджетных расходов Минцифры России Алексей Чукарин рассказал, как данные стали ключевым ресурсом, трансформируя экономику и государственное управление.

Источник: Пресс-служба компании Positive Technologies

Журнал IT News

Похожие статьи