【Wired 硬塞】5G 更快更安全?當心駭客乘隙搞鬼

新一代無線通訊網路的用戶雖更不易遭受追蹤和電子欺騙攻擊,安全漏洞依然存在,因為用戶裝置還是連得上舊有網路。
評論
Photo Credit:AP/達志影像
Photo Credit:AP/達志影像
評論

 原文來自 WIRED《5G Is More Secure Than 4G and 3G—Except When It’s Not》,作者 Lily Hay Newman 。台灣康泰納仕集團授權提供,INSIDE 編譯。

5G(第5代行動通訊技術)網路快如閃電─這類宣傳台詞或許你已經聽了好幾年。雖說這種新型無線通訊網路在美國尚未遍地開花,漸漸地,5G 已逐步在波士頓(Boston)、西雅圖(Seattle)、達拉斯(Dallas)、堪薩斯市(Kansas City)等城市現蹤。而且隨著連網速度加快,無線產業試圖推出比 3G 和 4G 更好的防護措施,用戶安全與隱私保護也將同步升級。不過雖然 5G 研究人員說新一代網路的防護會大幅改善,5G 本身仍有一些缺點。

5G 在安全方面是有些重要長處,這些長處很多都跟反追蹤(anti-tracking)和反電子欺騙(anti-spoofing)功能有關,讓網路裡的惡意人士更難追蹤和操縱個別裝置連線。5G 為此加密更多資料,所以漫天穿梭任人攔截的未加密資料更少。此外,5G 系統比前幾代無線通訊網路更仰賴軟體和雲端基礎。這麼一來就更容易監測潛在威脅,還能讓業者進行所謂的「網路切片」(network slicing),也就是把系統切隔成多個可以個別管理和客製化的虛擬網路。這代表不同塊「切片」可以替特定形式的裝置,量身訂做不同防護措施。

「在安全方面,5G 未來真的大有可為。」挪威技術分析公司 SINTEF Digital 研究科學家拉維香卡‧波高卡(Ravishankar Borgaonkar)說:「加密識別碼真的是好東西,網路切片堪稱網路的典範變遷。但還是有其他方法能追蹤用戶,而且如何保證(5G)軟體的可信賴程度還存在問題,所以總是會有改善空間。」

波高卡和其他研究人員過去一年已發現 5G 多項安全弱點,並向行動通訊業組織「全球行動通訊系統協會」(GSMA)通報,該組織是負責管理通訊標準的團體之一。研究人員發現的弱點,多半集中於用戶連上 5G 時還是使用傳輸過程未加密的資訊,或是因為通訊標準有缺陷導致資訊會外流,因此仍有方法追蹤用戶。

這種情況讓「假基地台攻擊」(fake base station attacks)有可乘之機,發動假基地台攻擊的人經常使用稱為 Stingray (又稱國際移動用戶識別碼擷取器,IMSI Catcher)的設備來欺騙目標裝置,讓受害裝置以為 Stingray 是行動通信基地塔而連上線。之後攻擊者就能攔截通訊、監視受害者,甚至是對資料動手腳。

研究人員也把矛頭指向 5G 允許降級攻擊(downgrade attack)侵門踏戶的一些漏洞。降級攻擊會操控目標手機的連線,把連線服務降級至 3G 或 4G,讓駭客可藉舊有網路的未解漏洞發動攻擊。

全球行動通訊系統協會則回應,樂見 5G 標準被詳細檢視,讓協會在 5G 網路更廣泛延伸觸角之前,就能逮到和修復潛在弱點。

「全球行動通訊系統協會致力讓業界做好準備迎接 5G,並持續投入資安科技,強化從設計之初即看重安全的 5G 新技術標準。」協會網路安全主任艾美‧藍貝格(Amy Lemberger)作此表示。藍貝格並指出,自 4 月起,全球行動通訊系統協會的「5G 安全專案小組」便號召行動通訊營運和供應商齊聚一堂,讓他們針對網路切片需求與 5G 詐騙模式等議題,彼此積極主動協調。

然而研究人員也說,儘管與全球行動通訊系統協會的合作成果豐碩,他們仍發現尚未完全解決的問題,部分癥結點在於要確保 5G 可跟 3G、4G 等舊有無線網路互通很困難。發展 5G 的同時又要跟前幾代網路無縫整合,既不容易,還會讓隱私和安全打折扣。

資安研究公司 SRLabs 創辦人卡爾斯騰‧諾爾(Karsten Nohl)就說:「5G 在多條戰線上大幅推進,但在不使用老式技術的純 5G 網路問世之前,安全防護都不會真正充分升級。所以還要再等個 10 年以上。」

在此又衍生出另一項潛在安全議題,這項問題不獨 5G 得面對,卻也是 5G 安全的一大重點,那就是通訊標準可否落實執行。全球行動通訊系統協會等組織雖然可讓 5G 標準盡可能安全完善,但實際上,5G 配置實作是交給電信業者。如果業者犯錯,或在建置過程偷斤減兩,就可能替 5G 系統引進意料之外的新風險和弱點,例如少了驗證檢查或資料保護措施等。而且消費者幾乎不可能知道網路是否依循最佳做法建置。

「即使是 4G 也相對安全啊,但很多業者根本沒按照建議執行特定通訊協定,因為成本太高了。」挪威技術分析公司 SINTEF Digital 的波高卡說:「即便通訊標準要求應該執行某些功能,我們發現業者並非都會執行,通常這就是行動通訊網路的問題所在。同樣的情況也會在 5G 出現。真的得交由政府管制,或由當局另外強制推行。」譬如美國聯邦傳播委員會(FCC)可強制推行一項技術標準的執行方式。

在保護用戶遠離被操控和追蹤式攻擊等威脅上,5G 的安全與隱私長處,真可讓情勢大幅改觀。同時隨著大批新聯網裝置透過 5G 上網,網路切片等功能可望協助管理裝置安全。不過,沒有一種神奇解方可以解決所有安全問題,5G 自身的挑戰看來似乎正等在眼前。

責任編輯:Chris
核稿編輯:Anny