在5G商用的浪潮中,安全问题必须特别关注。
12月14日,UnicornTeam负责人和黄琳在ICICS(国际信息通信安全大会)上表示,当前移动通信安全研究仍然“不受欢迎”,但该领域的安全问题不容忽视。
她在演讲中总结了移动通信的“五大安全问题”,并呼吁业界予以关注。
黄琳提到的移动通信“五大安全问题”包括多代协议兼容性带来的缺陷;协议扩展带来的新的攻击面;新功能带来的新安全风险;支持移动漫游的能力大大增加了安全解决方案的设计难度。
此外,还有政治因素对安全解决方案产生影响。
例如,移动通信必须支持国际漫游和合法监控。
“现在5G出来了,但还需要兼容4G、3G,甚至2G。
在兼容多代通信协议的过程中,最弱的2G系统成为了短板。
”黄琳表示,虽然中国电信表示5G业务不会再兼容CDMA,但淘汰旧系统还有很长的路要走。
黄琳在演讲中还透露了包括移动通信在内的无线安全的常见问题。
“由于无线信道的开放性,它很容易受到DoS攻击,”黄琳指出。
此外,“被跟踪”也是无线系统中常见的风险,例如IMSI跟踪、WiFi MAC跟踪和蓝牙MAC跟踪。
就在今年7月,有媒体透露,根据波士顿大学的最新研究,蓝牙通信协议中的安全漏洞可能允许恶意行为者跟踪和识别来自苹果和微软的设备,包括Mac、iPhone、iPad和Apple Watch。
苹果设备,包括微软平板电脑和笔记本电脑,都受到影响。
其他一些可穿戴蓝牙设备,例如无线耳机和手环,更容易追踪。
值得注意的是,黄琳在演讲中还分享了一组数据。
数据显示,尽管近年来移动安全的重大研究论文数量逐年增加,但移动通信安全在安全研究领域仍然是一个相对小众的话题。
的话题.统计显示,在四大安全会议(S&P、Usenix Security、CCS、NDSS)中,与移动安全相关的主题比例相当低,2018年至2020年中仅占2%以上。
全球移动通信系统协会(GSMA)自2016年启动CVD计划以来的三年内仅收集了29个CVD漏洞的数据。
UnicornTeam于2月份发现了全球首个4G网络协议中的高危漏洞。
也正是因为这一发现,它成为自成立以来第一家入选GSMA安全研究名人堂的公司。
该漏洞影响较大。
UnicornTeam研究发现,所有4G终端(手机、智能设备、智能汽车)都会受到该漏洞影响,攻击者可以劫持任意终端的4G网络,并冒充受害者手机的身份拨打电话或接听电话。
致电他人从事电信诈骗,或监听受害人手机短信,绕过各网络平台短信验证码身份认证机制,冒充受害人登录相应网络平台,造成信息、财产、在移动通信安全领域始终走在行业前列,是3GPP(全球通信标准化组织)唯一的中国网络安全公司。
早在今年3月份,《5G 网络安全研究报告》也率先发布。
黄琳在演讲最后表示,希望借此次学术会议的机会,向学术界传递业界在移动通信安全方面面临的困难。
她提出了三个值得探索的主要研究方向:一是在面向垂直行业的场景下,5G可以部署专网,专网的安全解决方案可以有更大的发展空间;其次,在一些关键基础设施应用场景中,链路中断等DoS攻击影响巨大。
如何在不过度增加系统成本和开销的情况下,增强链路的抗干扰和抗DoS能力?第三,面对GSM等仍将存在多年的旧系统,如何设计防御方案。
“对于这三大问题,我们希望学术界和工业界共同努力寻找解决方案。
”黄琳呼吁。