玄武|腾讯安全玄武实验室报告的5G消息漏洞,该5G背锅吗?
_原题为 腾讯安全玄武实验室报告的5G消息漏洞 , 该5G背锅吗?
文章图片
在GeekPwn 2020 国际安全极客大赛上 , 腾讯安全玄武实验室高级研究员李冠成、戴戈演示了一项最新的5G消息安全研究发现:利用5G消息所采用的通信协议的设计问题 , 黑客可以“劫持”同一个基站覆盖下的任意一台手机的TCP通讯 , 包括各类短信收发、App和服务端的通信均有可能被劫持 。
【玄武|腾讯安全玄武实验室报告的5G消息漏洞,该5G背锅吗?】5G消息漏洞 , 是5G的问题还是其它问题?
5G消息是短信业务的升级 , 是运营商的一种基础电信服务 , 基于IP技术实现业务体验升级 , 支持的媒体格式更多 , 表现形式更丰富 。
玄武实验室表示 , 此项漏洞是通信协议漏洞 , 不依赖于任何特定设备或者网络环境 , 只要攻击者和被攻击者处于同一个基站覆盖下就可以完成攻击 , 并且整个过程用户侧毫无感知 。 “5G、4G、3G通信协议中均存在这个漏洞 。 ”
玄武实验室认为 , 这意味着用户收到一条显示为“955**”的银行短信或者App消息推送有可能来自未知的恶意用户 。 黑产团伙进而可以引导受害者点击被植入木马的链接 , 窃取银行卡信息 , 或者伪造其手机号向其家人发短信要求转账 , 甚至劫持相关HTTP访问 , 造成用户账号密码等敏感信息泄露 。
对此 , 电信分析师付亮对第一财经采访人员表示 , 这实际与5G无关 , 是通信协议中短消息的一个漏洞 , 短消息的安全等级本身就比较低 。 从内容看 , 这是通过假冒终端侵入基站向同一基站下的其他设备发送信息 , 与之前的伪基站类似 , 区别在于 , 现在可以发送多媒体信息了 , 原来是短信 , 现在是彩信 。 侵入的方式还是诱导用户实施一些行为 , 假冒打款需求、诱导用户点击超链实现木马病毒或假冒APP下载安装等 , 无论是哪种 , 都非常致命 , 危害确实极大 。 “但目前IOS禁止安装外部应用 , 安卓平台大多有安装外部应用提醒 , 可阻止大部分应用的安装 。 ”
付亮强调 , 这种危险本身不涉及银行账号安全 , 但银行或网银支付工具应通过流程优化 , 尽最大可能阻止用户信息泄露带来的资产异常流动 。 从安全等级看 , 身份信息、银行支付信息、手机号码信息、互联网应用实名注册信息 , 安全级别逐步降低 , 位居前面的可以为后面的安全背书 , 但反过来不可以 。 “例如 , 手机号+验证码 , 可作为互联网应用实名登记工具 , 但不能单独为支付宝支付背书 。 ”
由此 , 付亮认为 , 腾讯安全玄武实验室报告的5G消息漏洞 , 其实与“5G消息”无关 , 是传统的短信模式的漏洞 。
但漏洞引发的安全隐患不容忽视 。 玄武实验室负责人此前向第一财经采访人员透露 , 玄武实验室将通知国家信息安全主管部门 , 也会跟相关标准组织知会此项漏洞 。
第一财经广告合作 ,请点击这里
此内容为第一财经原创 , 著作权归第一财经所有 。 未经第一财经书面授权 , 不得以任何方式加以使用 , 包括转载、摘编、复制或建立镜像 。 第一财经保留追究侵权者法律责任的权利 。如需获得授权请联系第一财经版权部:021-22002972或021-22002335;banquan@yicai.com 。
文章作者
推荐阅读
- 交巡警|渝北一女子误上机场路,危急情况下民警及时出现护送其安全到家……
- 安全隐患|高速路上惊现一群黑山羊,民警及时处理排除安全隐患
- 家用净水器|家用净水器哪款好?“家庭安全卫士”你还不知道吗
- 网络安全|“清洁网络”计划危害网络安全(国际论坛)
- 操作|马化腾退出财付通法定代表人?腾讯这样的操作到底有何深意?
- 极客公园|腾讯音乐没有天花板
- 音乐|营收75.8亿元同比增长16.4%,腾讯音乐Q3财报多点开花迎来里程碑
- 国标|如何保护网约车的信息安全?“国标”即将出台 开始征求意见
- 宁德|腾讯市值三日跌掉一个宁德时代,科技龙头股为何集体高位下杀?
- 冷冻|电装冷链科技助力食药安全