كانت البيانات اللاسلكية الحقيقية لشبكات الجيل الخامس 5G ، بسرعاتها الفائقة وحماية الأمان المحسّنة ، بطيئة في الانتشار عالميًا. مع انتشار تقنية الهاتف المحمول ، والجمع بين السرعة الموسعة والنطاق الترددي مع الاتصالات منخفضة زمن الوصول ، بدأت إحدى أكثر ميزاتها شهرة في الظهور. لكن الترقية تأتي مع مجموعتها الخاصة من التعرضات الأمنية المحتملة.
يكتسب عدد هائل من الأجهزة التي تدعم تقنية الجيل الخامس ، بدءًا من مستشعرات المدينة الذكية إلى الروبوتات الزراعية وغيرها ، القدرة على الاتصال بالإنترنت في الأماكن التي لا تكون فيها شبكة Wi-Fi عملية أو متاحة. يمكن للأفراد حتى اختيار استبدال اتصال الإنترنت بالألياف الضوئية بجهاز استقبال منزلي 5G. لكن واجهات المشغلين الموجودة لإدارة بيانات إنترنت الأشياء مليئة بالثغرات الأمنية ، وفقًا لبحث تم تقديمه هذا الأسبوع في مؤتمر Black Hat Security في لاس فيجاس. ويمكن أن تضر نقاط الضعف هذه بالصناعة على المدى الطويل.
بعد قضاء سنوات في دراسة مشكلات الأمان والخصوصية المحتملة مع معايير تردد راديو بيانات الجوال ، قال ألطاف شيخ ، الباحث في الجامعة التقنية في برلين ، إنه كان مهتمًا بدراسة واجهات برمجة التطبيقات (APIs) التي يقدمها المشغلون لإنشاء إنترنت الأشياء البيانات في متناول المستخدمين. المطورين. هذه هي القنوات التي يمكن للتطبيقات استخدامها لسحب ، على سبيل المثال ، بيانات تتبع الحافلات في الوقت الفعلي أو معلومات المخزون في المستودع. واجهات برمجة التطبيقات هذه منتشرة في كل مكان في خدمات الويب ، لكن شايك يشير إلى أنها لم تستخدم على نطاق واسع في عروض الاتصالات الأساسية. من خلال فحص 5G IoT APIs لعشرة مشغلين للهواتف المحمولة حول العالم ، اكتشف Shaik وزميله Shinjo Park نقاط ضعف شائعة ولكنها خطيرة في واجهة برمجة التطبيقات في كل منها ، ويمكن استغلال بعضها للوصول إلى البيانات المسموح بها أو حتى الوصول المباشر إلى أجهزة إنترنت الأشياء على الشبكة.
قال شيخ لـ WIRED قبل عرضه التقديمي: "هناك فجوة معرفية كبيرة. هذه بداية لنوع جديد من الهجمات في مجال الاتصالات. هناك نظام أساسي كامل يمكنك من خلاله الوصول إلى واجهات برمجة التطبيقات ، وهناك وثائق ، وكل شيء ، ويسمى شيئًا مثل "منصة خدمة إنترنت الأشياء". كل مشغل في كل بلد سيبيعهم إذا لم يكونوا كذلك بالفعل ، وهناك مشغلين ومقاولين افتراضيين أيضًا ، لذلك سيكون هناك عدد كبير من الشركات التي تقدم هذا النوع من المنصات. ">
لم يتم تحديد تصميمات منصات خدمة إنترنت الأشياء في معيار 5G والأمر متروك لكل مشغل وشركة لإنشاءها ونشرها. هذا يعني أن هناك تباينًا كبيرًا في جودتها وتنفيذها. بالإضافة إلى 5G ، يمكن لشبكات 4G التي تمت ترقيتها دعم بعض توسعات إنترنت الأشياء ، مما يزيد من عدد شركات الاتصالات التي يمكنها تقديم منصات خدمة إنترنت الأشياء وواجهات برمجة التطبيقات التي تشغلها.
اشترى الباحثون خطط إنترنت الأشياء من 10 شركات نقل قاموا بتحليلها وحصلوا على بطاقات SIM خاصة بالبيانات فقط لشبكات أجهزة إنترنت الأشياء الخاصة بهم. بهذه الطريقة ، كان لديهم نفس الوصول إلى الأنظمة الأساسية مثل أي عميل آخر في النظام البيئي. اكتشفوا أن العيوب الأساسية في تكوين واجهات برمجة التطبيقات ، مثل المصادقة الضعيفة أو ضوابط الوصول المفقودة ، يمكن أن تكشف عن بيانات اعتماد بطاقة SIM ، والمفاتيح السرية لبطاقة SIM ، وهوية من اشترى بطاقة SIM ومعلومات الفواتير الخاصة بهم. وفي بعض الحالات ، يمكن للباحثين حتى الوصول إلى تدفقات كبيرة من البيانات من مستخدمين آخرين أو حتى التعرف على أجهزة إنترنت الأشياء والوصول إليها عن طريق إرسال أو إعادة أوامر لا ينبغي أن يكونوا قادرين على التحكم فيها.
أجرى الباحثون عمليات الكشف مع 10 شركات نقل اختبروها وقالوا إن غالبية نقاط الضعف التي اكتشفوها حتى الآن تم تصحيحها. ويشير شيخ إلى أن جودة الحماية الأمنية عبر منصات خدمات إنترنت الأشياء تباينت على نطاق واسع ، حيث يبدو بعضها أكثر نضجًا بينما لا يزال البعض الآخر "متمسكًا بنفس السياسات والمبادئ الأمنية السيئة". ويضيف أن المجموعة لا تسمي علنًا شركات النقل التي فحصتها في هذا العمل بسبب مخاوف بشأن مدى المشكلات. يوجد سبعة من شركات النقل في أوروبا واثنتان في الولايات المتحدة وواحدة في آسيا.
"اكتشفنا ثغرات يمكن استغلالها للوصول إلى أجهزة أخرى حتى لو لم تكن تنتمي ...
كانت البيانات اللاسلكية الحقيقية لشبكات الجيل الخامس 5G ، بسرعاتها الفائقة وحماية الأمان المحسّنة ، بطيئة في الانتشار عالميًا. مع انتشار تقنية الهاتف المحمول ، والجمع بين السرعة الموسعة والنطاق الترددي مع الاتصالات منخفضة زمن الوصول ، بدأت إحدى أكثر ميزاتها شهرة في الظهور. لكن الترقية تأتي مع مجموعتها الخاصة من التعرضات الأمنية المحتملة.
يكتسب عدد هائل من الأجهزة التي تدعم تقنية الجيل الخامس ، بدءًا من مستشعرات المدينة الذكية إلى الروبوتات الزراعية وغيرها ، القدرة على الاتصال بالإنترنت في الأماكن التي لا تكون فيها شبكة Wi-Fi عملية أو متاحة. يمكن للأفراد حتى اختيار استبدال اتصال الإنترنت بالألياف الضوئية بجهاز استقبال منزلي 5G. لكن واجهات المشغلين الموجودة لإدارة بيانات إنترنت الأشياء مليئة بالثغرات الأمنية ، وفقًا لبحث تم تقديمه هذا الأسبوع في مؤتمر Black Hat Security في لاس فيجاس. ويمكن أن تضر نقاط الضعف هذه بالصناعة على المدى الطويل.
بعد قضاء سنوات في دراسة مشكلات الأمان والخصوصية المحتملة مع معايير تردد راديو بيانات الجوال ، قال ألطاف شيخ ، الباحث في الجامعة التقنية في برلين ، إنه كان مهتمًا بدراسة واجهات برمجة التطبيقات (APIs) التي يقدمها المشغلون لإنشاء إنترنت الأشياء البيانات في متناول المستخدمين. المطورين. هذه هي القنوات التي يمكن للتطبيقات استخدامها لسحب ، على سبيل المثال ، بيانات تتبع الحافلات في الوقت الفعلي أو معلومات المخزون في المستودع. واجهات برمجة التطبيقات هذه منتشرة في كل مكان في خدمات الويب ، لكن شايك يشير إلى أنها لم تستخدم على نطاق واسع في عروض الاتصالات الأساسية. من خلال فحص 5G IoT APIs لعشرة مشغلين للهواتف المحمولة حول العالم ، اكتشف Shaik وزميله Shinjo Park نقاط ضعف شائعة ولكنها خطيرة في واجهة برمجة التطبيقات في كل منها ، ويمكن استغلال بعضها للوصول إلى البيانات المسموح بها أو حتى الوصول المباشر إلى أجهزة إنترنت الأشياء على الشبكة.
قال شيخ لـ WIRED قبل عرضه التقديمي: "هناك فجوة معرفية كبيرة. هذه بداية لنوع جديد من الهجمات في مجال الاتصالات. هناك نظام أساسي كامل يمكنك من خلاله الوصول إلى واجهات برمجة التطبيقات ، وهناك وثائق ، وكل شيء ، ويسمى شيئًا مثل "منصة خدمة إنترنت الأشياء". كل مشغل في كل بلد سيبيعهم إذا لم يكونوا كذلك بالفعل ، وهناك مشغلين ومقاولين افتراضيين أيضًا ، لذلك سيكون هناك عدد كبير من الشركات التي تقدم هذا النوع من المنصات. ">
لم يتم تحديد تصميمات منصات خدمة إنترنت الأشياء في معيار 5G والأمر متروك لكل مشغل وشركة لإنشاءها ونشرها. هذا يعني أن هناك تباينًا كبيرًا في جودتها وتنفيذها. بالإضافة إلى 5G ، يمكن لشبكات 4G التي تمت ترقيتها دعم بعض توسعات إنترنت الأشياء ، مما يزيد من عدد شركات الاتصالات التي يمكنها تقديم منصات خدمة إنترنت الأشياء وواجهات برمجة التطبيقات التي تشغلها.
اشترى الباحثون خطط إنترنت الأشياء من 10 شركات نقل قاموا بتحليلها وحصلوا على بطاقات SIM خاصة بالبيانات فقط لشبكات أجهزة إنترنت الأشياء الخاصة بهم. بهذه الطريقة ، كان لديهم نفس الوصول إلى الأنظمة الأساسية مثل أي عميل آخر في النظام البيئي. اكتشفوا أن العيوب الأساسية في تكوين واجهات برمجة التطبيقات ، مثل المصادقة الضعيفة أو ضوابط الوصول المفقودة ، يمكن أن تكشف عن بيانات اعتماد بطاقة SIM ، والمفاتيح السرية لبطاقة SIM ، وهوية من اشترى بطاقة SIM ومعلومات الفواتير الخاصة بهم. وفي بعض الحالات ، يمكن للباحثين حتى الوصول إلى تدفقات كبيرة من البيانات من مستخدمين آخرين أو حتى التعرف على أجهزة إنترنت الأشياء والوصول إليها عن طريق إرسال أو إعادة أوامر لا ينبغي أن يكونوا قادرين على التحكم فيها.
أجرى الباحثون عمليات الكشف مع 10 شركات نقل اختبروها وقالوا إن غالبية نقاط الضعف التي اكتشفوها حتى الآن تم تصحيحها. ويشير شيخ إلى أن جودة الحماية الأمنية عبر منصات خدمات إنترنت الأشياء تباينت على نطاق واسع ، حيث يبدو بعضها أكثر نضجًا بينما لا يزال البعض الآخر "متمسكًا بنفس السياسات والمبادئ الأمنية السيئة". ويضيف أن المجموعة لا تسمي علنًا شركات النقل التي فحصتها في هذا العمل بسبب مخاوف بشأن مدى المشكلات. يوجد سبعة من شركات النقل في أوروبا واثنتان في الولايات المتحدة وواحدة في آسيا.
"اكتشفنا ثغرات يمكن استغلالها للوصول إلى أجهزة أخرى حتى لو لم تكن تنتمي ...
توسيع
انطون بيتروس | جيتي
