10.00.13 У стандарті 4G LTE знайдено декілька вразливостей, але переживати за безпеку не варто | |
 Тільки вчора «велика трійка» мобільних операторів України (Київстар, Vodafone, Lifecell) приступила до розгортання мереж 4G в діапазоні 1800 МГц. Одночасно міжнародна група дослідників повідомила про існування кількох серйозних вразливостей в 4G (LTE), що дозволяють здійснювати різного роду маніпуляції в мережах на базі цього стандарту. Відразу обмовимося, що скористатися цими вразливостями дуже непросто, так що для звичайних користувачів немає підстав турбуватися про те, що їхні розмови можуть підслухати, а дані - перехопити.
Всього дослідники виділяють три варіанти атак на мережі LTE. Дві з них проводяться в пасивному режимі і дозволяють збирати метадані про трафік, наприклад, ідентифікувати певні види трафіку і визначати які сайти відвідує користувач. Третя атака, що отримала власну назву aLTEr, дозволяє організувати відправку підставних відповідей на пристрій користувача і може застосовуватися, наприклад, для перенаправлення на шкідливі сайти шляхом заміни IP-адреси DNS-сервера в DNS-пакетах. Як повідомляється, можливість маніпуляції трафіком викликана недоробками в механізмах шифрування, які застосовуються на канальному рівні LTE (Data Link Layer). Точніше кажучи, цією недоробкою є відсутність коштів для контролю цілісності блоків в алгоритмі шифрування AES-CTR, використовуваному в стандарті LTE. Що ж стосується складності практичної реалізації цих атак, крім спеціального SDR-обладнання (Software-Defined Radio) загальною вартістю близько $ 4000. потрібно ще й близька фізична присутність жертви - до 1 км. До того ж, дослідники опублікували лише загальну інформацію, що описує саму концепцію, а подробиці, без яких скористатися проломом обіцяють розповісти тільки в травні наступного року на конференції IEEE Symposium on Security and Privacy 2019. На той час вразливість повинна бути усунути. Користувачам рекомендують поки користуватися доступними технологіями захисту DNS-трафіку, такими як DNS-SEC і DNS over TLS / HTTPS. Джерело: Ars Technica, aLTEr Attack і opennet | |
|
| |
| Всього коментарів: 0 | |