Informacinės saugos grupės mokslininkai visapusišką saugumo analizę pateikė artėjančiam 5G mobiliojo ryšio standartui. Jų išvada: duomenų apsauga yra patobulinta, palyginti su ankstesniais 3G ir 4G standartais. Tačiau vis dar yra saugumo spragų ir 5G mobiliojo radijo technologiją vis dar reikia tobulinti.
Du trečdaliai pasaulio gyventojų, apie penkis milijardus žmonių, kasdien naudojasi išmaniaisiais telefonais ar kitais mobiliaisiais įrenginiais. Jie prisijungia prie mobiliojo tinklo per savo SIM korteles ir skambina, siunčia tekstus, keičiasi nuotraukomis arba atlieka mokėjimus ir pirkimus. Mobiliųjų paslaugų teikėjams šis verslas generuoja milijardus. Bet ne tik jiems. Vėl ir vėl, nusikaltėliai gali pasiekti ryšį tarp įrenginio ir tinklo, norėdami užgrobti pokalbius ar pavogti duomenis.
Penktoji ir naujausia mobiliojo ryšio technologija pažadėjo vartotojams žymiai daugiau saugumo nei anksčiau. Siekiant užtikrinti saugumą, būtina atsižvelgti į pagrindinius veiksnius: įrenginys ir tinklas turi būti pajėgūs autentifikuoti vieni kitus ir užtikrinti garantuojamą duomenų mainų ir vartotojo privatumo konfidencialumą dėl tapatybės ir vietos.
© Donatas Vertelka
Nuo 3G standarto įvedimo ji buvo įgyvendinta per protokolą, vadinamą „Authentication and Key Agreement“ (AKA). Organizacijos 3-os kartos partnerystės projektas (3GPP) yra atsakingas už šio protokolo specifikacijas ir naujausio standartinio 5G AKA specifikacijas.
5G mobiliojo ryšio standartas neuždaro visų spragų
ETH tyrėjų komanda, vadovaujama David Basin profesoriaus Informacinio saugumo srityje, dabar atidžiau pažvelgė į šias specifikacijas. Naudodamiesi saugumo protokolo patikros priemone „Tamarin“, jie sistemingai išnagrinėjo 5G AKA protokolą atsižvelgdami į nurodytus saugumo tikslus.
„Tamarinas“ buvo sukurtas ir patobulintas per pastaruosius aštuonerius metus šioje tyrimų grupėje ir yra viena iš efektyviausių kriptografinių protokolų analizės priemonių. Įrankis automatiškai nustato minimalias saugumo prielaidas, kurių reikia norint pasiekti 3GPP nustatytus saugumo tikslus.
„Tai parodė, kad standartas nėra pakankamas, kad būtų pasiekti visi svarbiausi 5G AKA protokolo saugumo tikslai, – sako vyresnysis mokslinis bendradarbis ir bendraautorius Ralf Sasse. – Todėl dėl netinkamo dabartinio standarto įgyvendinimo gali būti, kad vartotojai „mokės“ už tai, kad prie jų mobiliųjų įrenginių galės jungsis trečioji pusė“.
Spragų užtaisymas galimas prieš 5G paleidimą
Kaip nusprendė Basino komanda, duomenų apsauga gerokai pagerės, lyginant naująjį protokolą su 3G ir 4G technologijomis. Be to, 3GPP pavyko uždaryti spragą su nauju standartu, kurį anksčiau naudojo IMSI skeneriai. Su šiais prietaisais galima skaityti mobiliojo telefono kortelės tarptautinę mobiliojo ryšio abonento tapatybę (IMSI), kad būtų galima nustatyti mobiliojo įrenginio vietą. Norėdami tai pasiekti, prietaisas maskuojasi kaip radijo stotis, kad jo neužfiksuotų mobilusis telefonas.
„Ši spraga užtaisyta su 5G AKA. Tačiau mes nustatėme, kad protokolas leidžia naudoti kitų rūšių atsekamumo išpuolius“, – aiškina vyresnysis mokslinis bendradarbis ir bendraautorius Lucca Hirschi. Šiuose išpuoliuose mobilusis telefonas nesiunčia vartotojo visišką tapatybę stebėjimam įrenginiui, bet vis tiek rodo, kad jis yra greta.
„Mes manome, kad ateityje 5G vartotojams gali būti pavojingesni stebėjimo įrenginiai“, – priduria Hirschi. Jei naujos mobiliosios komunikacijos technologijos bus įdiegtos pagal šias specifikacijas, tai gali sukelti daugybę elektroninių išpuolių. Taigi Basin komanda palaiko ryšius su 3GPP, siekdama kartu įgyvendinti 5G AKA protokolo patobulinimus.