Cuộc tấn công mạo danh - được đặt tên là "IMPersonation Attacks in 4G NeTworks" (hoặc IMP4GT), khai thác phương thức xác thực chéo được sử dụng bởi điện thoại di động và trạm thu phát sóng của mạng để xác minh danh tính tương ứng của tin tặc nhằm thao túng các gói dữ liệu được truyền tải.
Các chuyên gia giải thích, các cuộc tấn công IMP4GT khai thác tính năng bảo vệ tính toàn vẹn bị thiếu đối với dữ liệu người dùng và cơ chế phản chiếu ngăn xếp IP của hệ điều hành di động. Bằng việc sử dụng cơ chế phản chiếu, kẻ tấn công có thể chèn các gói tùy ý và giải mã các gói. Nghiên cứu được trình bày tại Hội nghị chuyên đề bảo mật hệ thống phân tán mạng (NDSS) vào ngày 25/2/2020 tại San Diego.
Lỗ hổng này ảnh hưởng đến tất cả các thiết bị giao tiếp với LTE, bao gồm tất cả điện thoại thông minh, máy tính bảng và thiết bị IoT hiện đang được bán trên thị trường.
Các nhà nghiên cứu đã thực hiện các cuộc tấn công bằng cách sử dụng radio “định nghĩa bằng phần mềm”, là thiết bị có thể đọc tin nhắn giữa điện thoại và trạm thu phát mà nó được kết nối. Cuộc tấn công trung gian cho phép tin tặc mạo danh người dùng với phía mạng và ngược lại.
Nói cách khác, kẻ tấn công lừa đảo, giả danh trên mạng rằng radio là điện thoại (mạo danh đường lên) và cũng lừa tương tự đối với điện thoại để cho rằng radio định nghĩa bằng phần mềm là tháp di động hợp pháp (mạo danh đường xuống).
Quá trình trao đổi giữa thiết bị người dùng (UE) và máy chủ
Các nhà nghiên cứu cho biết: "Việc mạo danh đường lên cho phép kẻ tấn công thiết lập kết nối IP tùy ý tới Internet, ví dụ: kết nối TCP với máy chủ HTTP. Với biến thể đường xuống, kẻ tấn công có thể xây dựng kết nối TCP tới UE".
Cần lưu ý rằng kẻ tấn công phải trong phạm vi 2km với điện thoại di động của nạn nhân để thực hiện cuộc tấn công IMP4GT. Do đó, các cuộc tấn công này không khác gì các cuộc tấn công liên quan đến giả lập trang web di động như công cụ bắt IMSI (còn gọi là stingrays) được các cơ quan thực thi pháp luật sử dụng để nghe lén lưu lượng điện thoại di động.
Khi kênh liên lạc này bị xâm phạm, giai đoạn tiếp theo của cuộc tấn công sẽ hoạt động bằng cách tận dụng sự thiếu bảo vệ tính toàn vẹn trong tiêu chuẩn truyền thông LTE để tự ý sửa đổi các gói dữ liệu đang được trao đổi.
Bằng cách giả mạo lưu lượng truy cập Internet, cuộc tấn công có thể cho phép tin tặc mua hàng trái phép, truy cập các trang web bất hợp pháp, tải lên các tài liệu nhạy cảm bằng cách sử dụng danh tính của nạn nhân và thậm chí chuyển hướng người dùng đến một trang web độc hại, một hình thức tấn công khác gọi là "tấn công aLTEr".
Cuộc tấn công này có ảnh hưởng lớn đối với các nhà cung cấp và người dùng. Các nhà cung cấp không thể xác định chính xác kết nối IP bắt nguồn từ người dùng. Cơ chế thanh toán cước có thể được kích hoạt bởi một kẻ tấn công, gây ra sự cạn kiệt giới hạn dữ liệu và mọi kiểm soát truy cập hoặc tường lửa của nhà cung cấp có thể được bỏ qua.
Việc tiết lộ kiểu tấn công IMP4GT diễn ra sau một nghiên cứu tương tự được thực hiện bởi các học giả tại Đại học Purdue và Đại học Iowa, đã phát hiện ra 3 lỗ hổng bảo mật mới trong mạng 4G LTE và 5G có thể được sử dụng để nghe lén các cuộc gọi điện thoại và theo dõi các địa điểm của người dùng điện thoại di động.
Trong thời gian tới, tiêu chuẩn 5G sẽ được ra mắt và triển khai ở một số quốc gia, nhằm mục đích cung cấp kết nối tốc độ cao hơn và các tính năng bảo mật cần thiết, bao gồm bảo vệ chống lại các công cụ bắt IMSI. Nhưng với hàng trăm triệu thiết bị bị ảnh hưởng bởi các lỗ hổng này, bắt buộc việc triển khai 5G phải áp dụng biện pháp bảo mật dữ liệu mạnh mẽ.
"Các nhà khai thác mạng di động sẽ phải chấp nhận chi phí cao hơn, vì sự bảo vệ bổ sung tạo ra nhiều dữ liệu hơn trong quá trình truyền tải", David Rupprarou - một trong những đồng tác giả của bài báo, cho biết.
Mặc dù việc xem xét kỹ lưỡng của tiêu chuẩn 5G đã giúp có thể nắm bắt và khắc phục các lỗ hổng tiềm ẩn trước khi mạng 5G được triển khai rộng rãi, nhưng nghiên cứu này là một dấu hiệu cho thấy an ninh mạng di động cần được chú ý hơn nữa.
Anh Nguyễn (The Hacker News)
08:00 | 12/03/2020
15:00 | 02/03/2020
08:00 | 27/02/2020
16:00 | 15/03/2024
Ngày 11/3, Văn phòng Thủ tướng Pháp thông báo một số cơ quan nhà nước của Pháp đã bị tấn công mạng với cường độ chưa từng có đồng thời nhấn mạnh rằng chính phủ đã có thể hạn chế tác động từ vụ việc này.
11:00 | 29/02/2024
Các nhà nghiên cứu của hãng bảo mật Palo Alto Networks (Mỹ) đã phát hiện một biến thể mới của Trojan ngân hàng Mispadu đang tiến hành các hoạt động khai thác lỗ hổng Windows SmartScreen đã được vá để nhắm mục tiêu đến các nạn nhân ở Mexico. Bài viết sẽ phân tích và thảo luận xoay quanh biến thể mới của Mispadu và tấn công khai thác lỗ hổng Windows SmartScreen dựa trên báo cáo của Palo Alto Networks.
10:00 | 31/01/2024
Các nhà nghiên cứu tại công ty an ninh mạng CloudSEK (Ấn Độ) cho biết: tin tặc đang phân phối phần mềm đánh cắp thông tin bằng cách lợi dụng điểm cuối Google OAuth có tên MultiLogin để chiếm quyền điều khiển phiên của người dùng và cho phép truy cập liên tục vào các dịch vụ của Google ngay cả sau khi đặt lại mật khẩu.
08:00 | 12/01/2024
Trung tuần tháng 12, các nhà nghiên cứu của hãng bảo mật Kaspersky phát hiện một mối đe dọa đa nền tảng mới có tên là NKAbuse. Phần mềm độc hại này được viết bằng ngôn ngữ Golang, sử dụng công nghệ NKN (New Kind of Network) để trao đổi dữ liệu giữa các thiết bị mạng ngang hàng, được trang bị khả năng tạo backdoor và phát động các cuộc tấn công từ chối dịch vụ phân tán (DDoS), bên cạnh đó NKAbuse cũng có đủ sự linh hoạt để tạo các tệp nhị phân tương thích với nhiều kiến trúc khác nhau.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Nhóm tình báo mối đe dọa Threat Intelligence của Microsoft cho biết, các tác nhân đe dọa đang tích cực khai thác các lỗ hổng nghiêm trọng trong OpenMetadata để có quyền truy cập trái phép vào khối lượng workload trong Kubernetes và lạm dụng chúng cho hoạt động khai thác tiền điện tử.
14:00 | 25/04/2024
