腾讯展示了5G安全漏洞:可以向用户发送伪造的银行短信

北都网2020-10-30 20:45:10

10月24日,在geekpwn2020国际安全极客竞赛上,腾讯安全宣武实验室资深研究员李官城和达戈展示了最新的5g安全研究发现,黑客可以利用5g通信协议的设计,劫持同一基站覆盖的任何手机上的TCP通信,包括各种短信、应用和服务器通信。

李官城和达戈演示了破解5g消息的过程,并以20201024为单位向指定的移动电话发送了一条消息。

事实上,消息不仅可以用20201024号发送,而且可以模拟任何数字。

根据腾讯的说法,这个漏洞意味着用户收到的银行信息显示955或应用程序消息推送可能来自未知的恶意用户,黑人行业团体可以利用这个漏洞进行各种形式的攻击,如伪造银行向受害者发送消息以通知异常交易,引导受害者点击链接,实际上,链接被植入木马,可以窃取受害者的银行卡信息;也可以伪造受害者的手机号码向家人发送短信、进行转账或其他请求;甚至劫持任何http访问,导致用户账号密码等敏感信息泄露。

根据宣武实验室的说法,该漏洞是一个通信协议漏洞,不依赖于任何特定的设备或网络环境。只要攻击者和攻击者被同一个基站覆盖,攻击就可以完成,整个过程中的用户也不知道这个漏洞。这个漏洞存在于5G、4G和3G通信协议中。

这个问题影响到世界上所有的手机,腾讯安全宣武实验室负责人于洋告诉www.thepac.cn。4g5g以下的RCS可能被劫持,事实上,4G和5g下的任何网络通信都可能被‘劫持’。

随着通信技术的升级,5g通信作为一个整体拥有更大的安全保障,但这并不意味着我们可以对5g安全问题掉以轻心。腾讯安全宣武实验室高级研究员李关城说。

于洋说:我们将通知信息安全机构,然后将此事通知相关的标准组织。

然而,对于普通用户来说,你可能不必担心太多。于洋认为,打破这一漏洞的技术难度是相当困难和在我们实验室的历史研究中,这是相对困难的。在发现漏洞的过程中,腾讯安全宣武实验室的高级研究员李官城和戴歌表示,5g标准文件的数量非常多,在数千万字的海洋中很难找到漏洞。

找出漏洞,然后发布给制造商修复,以免黑帽黑客窃取信息并从中获利,这是白帽黑客的日常工作。在每年一度的极客国际安全极客竞赛中,挑战者展示了一些场景,比如自制雷达干扰自动驾驶汽车。

基恩的创始人兼怪人竞赛的创始人王琦在会议上说:极客不应该是黑人或神秘的。极客和医务工作者一样,通过预先发现漏洞来避免问题。我相信极客可以利用他们的好奇心去发现未知的缺陷,他们也可以用他们的责任感来敲响提醒的号角。

上一篇:科技创新引领宜宾茶业高质量发展

下一篇:最后一页