華為副總裁:5G比4G更安全，研究人員發(fā)現(xiàn)了11個(gè)5G新漏洞

在今年工業(yè)和信息化部主辦的一場(chǎng)論壇上，華為副總裁楊超斌就表示‘5G 整個(gè)網(wǎng)絡(luò)必然比 4G 網(wǎng)絡(luò)更加安全’。5G 時(shí)代已經(jīng)到來(lái)，除了更快的網(wǎng)速和更貴的資費(fèi)(誤)，按照部分 5G 供應(yīng)商的說(shuō)法，5G 的另一大特點(diǎn)就是比 4G 等前代通信技術(shù)更安全。

在用戶隱私保護(hù)上，用戶身份信息在 5G 時(shí)代全部同步加密。信號(hào)完整性保護(hù)方面，對(duì)信號(hào)在傳輸過(guò)程中防篡改做了研究。

華為美國(guó)公司 CSO(首席問(wèn)題官)，前美國(guó)國(guó)土安全部網(wǎng)絡(luò)安全主管 Andy Purdy 也在一篇文章中表達(dá)了類(lèi)似的觀點(diǎn)，他表示 5G 利用 4G 最好的防御技術(shù)，同時(shí)實(shí)現(xiàn)新的安全協(xié)議，能解決以前未解決的安全威脅。

▲ 圖片來(lái)自：Wired

但這不意味著 4G 時(shí)代的安全漏洞不會(huì)出現(xiàn)在 5G 網(wǎng)絡(luò)中，最近普渡大學(xué)(Purdue University)和愛(ài)荷華大學(xué)(University of Iowa)的研究人員就發(fā)現(xiàn)了 5G 協(xié)議中的 11 個(gè)新漏洞。

據(jù)研究人員介紹，攻擊者可以利用這些漏洞跟蹤用戶的實(shí)時(shí)位置，獲取用戶的通話、短信和瀏覽記錄，發(fā)送假的緊急警報(bào)，將網(wǎng)絡(luò)信號(hào)降至 4G 或更低的級(jí)別……

事實(shí)上這些攻擊不算新鮮，過(guò)去很多利用短信嗅探來(lái)盜取用戶金融賬戶錢(qián)財(cái)?shù)陌讣?，前提就是要將用戶的信?hào)降至 2G 才能得手。研究人員表示，最新發(fā)現(xiàn)的這些 5G 漏洞，很可能也能用于現(xiàn)在的 4G 網(wǎng)絡(luò)。

據(jù)悉研究人員是通過(guò)一個(gè)叫做 5GReasoner 的工具來(lái)發(fā)現(xiàn)這些漏洞的，負(fù)責(zé)這項(xiàng)研究的普渡大學(xué)移動(dòng)安全研究員 Syed Rafiul Hussain 表示在研究開(kāi)始前，就預(yù)感會(huì)發(fā)現(xiàn)更多的安全漏洞。

由于 4G 和 3G 的安全技術(shù)被沿用到 5G，因此也可能把前代的漏洞帶到 5G。此外 5G 的很多新功能可能還未經(jīng)過(guò)嚴(yán)格的安全評(píng)估，因此我們的發(fā)現(xiàn)既在意料之外又在情理之中。

5G 協(xié)議引入了用戶永久標(biāo)識(shí)符和用戶隱藏標(biāo)識(shí)符概念，能更好地抵抗網(wǎng)絡(luò)攻擊。但研究人員卻發(fā)現(xiàn)可以利用漏洞將信號(hào)降到 4G，對(duì)外發(fā)送未加密的 IMSI(國(guó)際移動(dòng)用戶標(biāo)識(shí))，從而進(jìn)行未授權(quán)的活動(dòng)。

更可怕的是，這種攻擊的門(mén)檻很低，研究人員表示只要具備一定 4G 和 5G 網(wǎng)絡(luò)知識(shí)，并了解低成本軟件無(wú)線電技術(shù)，都能輕易利用這些漏洞進(jìn)行攻擊。

▲ 圖片來(lái)自：Digital Information World

無(wú)論如何，5G 作為一項(xiàng)被認(rèn)為是未來(lái)主流通信技術(shù)，的確需要進(jìn)一步提高安全性。目前 5G 已經(jīng)正式商用，希望在 5G 大范圍普及前，相關(guān)機(jī)構(gòu)能及時(shí)堵上這些安全漏洞。

目前研究人員已經(jīng)將這一發(fā)現(xiàn)提交給了全球移動(dòng)通信系統(tǒng)協(xié)會(huì) (GSMA)，盡管 GSMA 承認(rèn)這些漏洞的存在，但同時(shí)表示這些漏洞在實(shí)際中的影響并不大，也沒(méi)有透露是否以及何時(shí)會(huì)修復(fù)這些漏洞。