[新闻]欧盟示警5G存在安全漏洞
[来源]https://bit.ly/2Jzsv3t
[本文]
欧盟网络安全机构ENISA发布报告警告,2G、3G与4G网络中存在的资讯安全缺陷很可能在
5G当中重演。这对于物联网(IoT)而言很可能是个坏消息。目前数百万非安全装置连接
行动网络,且这些装置在设计层面往往未能充分考虑通讯验证与加密等保障性机制。
欧洲委员会和欧洲各国政府正在争先恐后地推出5G,并一直在推动电信营运商在新技术上
投入数十亿欧元。但是,ENISA暗示,一旦快速布署5G行动网络将可能带来网络安全攻击
的中高风险。
其危险在于,SS7及Diameter等在2G、3G与4G行动网络中使用的信令协议也有可能影响到
5G技术,这可能引发流量窃听或欺诈等恶意活动,或导致位置资讯遭遇拦截。
由于手机在现今的数位社会中发挥着巨大作用,所以手机内采用的行动网络非常重要,
ENISA警告说,5G虽然带来新的应用与频宽,但却具有相同的安全风险。如果无法解决信
令协议的安全性,可能无法实现本地/高效率的安全性,这是非常危险的。
例如:目前支持SMS讯息和电话的电信协议系统已经被证明是非常薄弱。2017年,德国营
运商O2报告中指出,骇客已经在所谓的SS7中发现一个弱点,用来袭击手机以获取用户的
银行帐户。即使电信公司已经着手解决SS7和更先进的Diameter协议系统中的安全漏洞,
但是这种解决方案非全面性,而是采取头痛医头的方式,所有不久将来发现新漏洞也不意
外。
根据ENISA针对39家欧洲电信营运商的调查,大多数公司每年只经历少量的网络安全攻击
。61%的公司表示,他们每年遭遇的违规数量不足10次。7%表示他们每年遭受100多次袭击
。所以大多数电信营运商只采取最低限度的安全措施,例如:路由保护,以阻止针对SMS
讯息的骇客攻击。ENISA建议公司必需做更多的事情,因为攻击只会变得更加复杂。
5G网络中使用的常见网络协定(例如HTTP、TLS与REST API)中一旦发现存在安全漏洞,
相关漏洞利用与渗透测试工具将能够很快将其扩散至行动网络范围。
ENISA强调,虽然全球已经开始讨论布局5G网络服务,但是相关标准组织却仍然不能确定
一切可能引发的安全隐忧。美国与亚洲部份国家布署5G服务最为积极,但ENISA建议欧洲
在5G技术的布署需要延后,以免网络攻击造成遗憾。(722字)