新兴的5G技术将基于SIM卡的IoT设备置于更大的威胁之中

标签: 无线安全 IoT sim | 发表时间:2018-06-15 13:00 | 作者:米雪儿
出处:http://www.freebuf.com

IoT-feature-image-300x300.jpg 眨眼下载一部高清电影,是大家对 5G网络最普遍的认知,但这只是5G时代的冰山一角。作为下一代移动互联网连接技术,5G将能够提供每秒数千兆位(Gbps)的下行速度,平均下载速率预计约为1Gbps/秒。

相较于前几代网络通信技术,5G技术的独特优势无疑将在智能手机和其他广泛使用的互联网移动设备上表现得更为明显。此外,它还极有可能让应用广泛的物联网设备受益,因为它可以很好地提供物联网所需的基础设施,以承载和传输大量数据。

除此之外,5G的可扩展性对于连接到物联网的数十亿设备的功能同样至关重要,预计到2020年这一新兴的电信技术在全球推出时,在线的物联网设备将达到300亿台。此外,物联网和5G处理的数据量预计将超过4G千倍以上,但是专家们发现,在传统通信技术(如2G,甚至4G)中发现的许多安全机制,并不是为这种数据量而设计的。因此,5G技术在继承并完善前几代通信技术(2G、3G、4G)的同时,也继承并放大了它们中的安全风险。

IoT设备中使用SIM卡

大多数用于无线连接的物联网设备(如智能工厂设备、自动驾驶汽车、智能机器人和智能手表等)仍然依赖于手机中使用的相同安全和身份识别机制:客户识别模块(subscriber identity module),即SIM卡。

自1993年以来,SIM卡的安全标准就包含了一种可以远程管理SIM卡数据及功能的技术——空中下载技术(Over-the-Air Technology,简称OTA)。它是通过无线电和SIM卡中用于管理的一种“不可见”的SMS消息来实现的。SMS是通过OTA发送的,而SMS中含有的命令可能会被攻击者滥用。当这些命令通过5G发送时,技术的可扩展性增加了这种滥用的可能性。这在基于SIM的标准和应用(包括通用用户识别模块USIM,嵌入式用户识别模块eSIM和集成用户识别模块ISIM)的IoT设备上下文/环境中尤为明显。

基于SIM卡的IoT设备的潜在威胁

这种通过OTA管理SIM卡的“不可见”SMS短信被称为“SIM-OTA SMS”消息。该通信不需要IT连接,只需要无线连接到能够发送SIM-OTA SMS消息的后端网络或运营商。这些SIM-OTA-SMS消息的功能非常强大,可以修改或移除基于SIM卡的物联网设备以及手机的功能,甚至可以导致SIM卡“变砖”或永久失效。如果物联网设备的所有功能都是基于SIM的无线连接,就像手机一样,那么这些设备也可能会“变砖”。

可能影响到基于SIM卡的物联网设备的SIM-OTA SMS消息,主要包括以下这些基于标准的命令:

· TERMINATE CARD USAGE: 不可逆转地导致SIM、USIM、eSIM或ISIM卡变砖,执行DOS攻击;

· TERMINATE DF: 不可逆转地拦截SIM、USIM、eSIM或ISIM的特定文件Dedicated File(包含访问条件和可分配内存),执行DOS攻击;

· TERMINATE EF: 不可逆地拦截SIM、USIM、eSIM或ISIM的特定文件Elementary File(包含访问条件和数据),执行DOS攻击;

· ACTIVATE FILE: 激活文件以促使勒索软件攻击、国际收入共享欺诈(IRSF)、窃听以及其他的恶意活动,执行DOS攻击;

· DEACTIVATE FILE: 可逆地阻止文件以促使勒索软件攻击、IRSF以及其他恶意活动,执行DOS攻击;

· CREATE FILE: 创建方便SIM和手机恶意软件运行的文件;

· DELETE FILE: 可以删除特定的功能,允许恶意活动继续运行,可能导致执行DOS攻击;

恶意的SIM-OTA SMS消息可以通过虚假基站、流氓基站(遭到黑客劫持的合法基站)、被黑的运营商和SMS网关,甚至是被黑的通信卫星进行发送。由于通信无线电的地理范围和5G的可扩展性都很强,可以想象使用这种攻击向量的攻击完全可以大规模地进行,并且会非常有效。

由于可以使用SIM-OTA SMS方法调用文件传输,因此还可以提示SIM相关的IoT设备下载包括恶意软件在内的文件。在下面的SIM-OTA SMS通信图中,SMS短信中的命令可以指示恶意代码执行或指示代码从远程位置检索并下载恶意软件,而从设备中生成的出站SMS(outbound SMS)可以容纳额外的恶意代码或钓鱼链接,或者可以构成SMS僵尸网络的部分命令结构。

SIM-OTA-SMS.jpg

图:SIM-OTA SMS通信

SIM应用程序工具包本质上是一组有用的功能,但它也可能被滥用来损害SIM卡以及基于SIM卡的物联网设备。其中一项功能就是SIM卡服务表,在该表中存储了所有的SIM功能,包括SIM卡的语音通话和短信发送功能等。通过使用SIM-OTA SMS消息、执行远程代码以及启用其他额外服务,攻击者可以使用一些新的恶意行为,包括构建物联网欺诈僵尸网络、针对运营商和运营商功能服务开展DDOS攻击,甚至是针对关键物联网基础设施实施大规模的永久性破坏等。

抵御威胁的可行性安全措施

事实上,存在很多安全功能可以用来预防这些恶意活动,但大多数物联网设备并不支持它们。在运营商端的安全功能中,很多需要部署名为“设备识别寄存器”(equipment identity register,简称EIR)的SIM目录管理平台,然而,EIR目前在电信领域仍然并不常见。

另外一种可行的方法是使用名为“电信安全管理员”(telecom security orchestrator,简称TAO)的5G平台。总的来说,它是一种可定制的软件程序,负责接收来自物联网、大数据、人工智能以及机器学习方面的信息,并根据这些信息进行大规模的高速自动化决策。这是一种较为新型的技术,主要负责管理软件定义网络(SDN)和像5G这样的编程网络。

“安全管理员”(security orchestrator)——包括IT和电信安全管理员——是自动化超大型网络的一种手段。当以电信级性能和成熟度(即远高于正常IT要求)运行时,TAO将可以解决各种电信安全问题。例如,它可以识别流氓或虚假基站,以及被黑的电信设备和卫星,并阻止通过上述渠道发起的攻击行为。但是,需要特别注意的是,该方法需要依赖于由人工智能和机器学习技术驱动的动态网络路由和数据架构。

*参考来源: trendmicro,米雪儿编译整理,转载请注明来自 FreeBuf.COM

相关 [新兴 5g 技术] 推荐:

新兴的5G技术将基于SIM卡的IoT设备置于更大的威胁之中

- - FreeBuf互联网安全新媒体平台 | 关注黑客与极客
眨眼下载一部高清电影,是大家对 5G网络最普遍的认知,但这只是5G时代的冰山一角. 作为下一代移动互联网连接技术,5G将能够提供每秒数千兆位(Gbps)的下行速度,平均下载速率预计约为1Gbps/秒. 相较于前几代网络通信技术,5G技术的独特优势无疑将在智能手机和其他广泛使用的互联网移动设备上表现得更为明显.

2011年10大新兴技术

- hi3w - 《程序员》杂志官网
每一年,《Technology Review》都会观察上一年技术的发展,选择出有望带来重大影响的10项新兴技术. 进行选择的终极准则是:这项技术能否改变世界. 这些新兴技术分为计算、网络、能源、生物医学几大类. 这种加密系统可以让“云”分析加密后的数据,使得云计算更为安全,将会解除很多公司对使用云计算服务的疑虑.

2022 年 Gartner 新兴技术成熟度曲线的新变化

- -
2022 年的新兴技术符合三个主题:不断发展和扩展的. •2022 年 Gartner 新兴技术技术成熟度曲线 包含 25 项“必须知道”的创新,以推动竞争差异化和效率. •只有少数有可能在短短两年内达到被主流采用;许多将需要10年或更长时间. •这些技术处于初期,部署它们的风险更大,但对早期采用者的好处可能更大.

Java ME Embedded和Java Embedded Suite:嵌入式市场的新兴Java技术

- - InfoQ cn
Oracle最近发布了其Java嵌入式技术产品线中的两个新成员—— Java ME Embedded 3.2和 Java Embedded Suite 7.0. Java ME Embedded是优化过的Java运行环境,专门针对那些基于ARM架构的微处理器和资源受限的设备. Java Embedded Suite是嵌入式系统的Java应用平台,它主要由Java SE Embedded、GlassFish Embedded Profile、Jersey和Java DB组成.

科技创业者们,应该了解的2017全球十大新兴技术

- - 商业不靠谱
新兴技术正在重新定义工业,它们使传统的界线变得模糊,在我们前所未见的尺度上创造新的机遇. 你知道2017年全球十大新兴技术都有哪些吗. 液体活检、机器视觉、太阳能燃料,这些新技术是否能改变我们的未来. 2017年全球十大新兴技术份榜单由《科学美国人》、《科学美国人》全球顾问委员会、世界经济论坛全球专家网络、世界未来委员会共同选出,涵盖了在医疗、计算机、环保等领域的最新技术,它们在提高生活质量、促进产业转型、保护地球环境等方面具有无限潜能.

前端技术

- - CSDN博客综合推荐文章
随着互联网产业的爆炸式增长,与之伴生的Web前端技术也在历经洗礼和蜕变. 尤其是近几年随着移动终端的发展,越来越多的人开始投身或转行至新领域,这更为当今的IT产业注入了新的活力. 尽管Web前端技术诞生至今时日并不长,但随着Web技术的逐渐深入,今后将会在以下几方面发力. JavaScript的兄弟们.

SSI技术

- - 开源软件 - ITeye博客
1.       SSI,通常称为“服务器端包含”技术. 使用了SSI技术的文件默认的后缀名为.shtml,SSI技术通过在html文件中加入SSI指令让web服务器在输出标准HTML代码之前先解释SSI指令,并把解释完后的输出结果和HTML代码一起返回给客户端. 2.       SSI技术的优点:SSI技术是通用技术,它不受限于运行环境,在java、dotnet、CGI、ASP、PHP下都可以使用SSI技术;解释SSI的效率比解释JSP的效率快很多,因为JSP规范提供了太多的功能,这些功能都需要servlet引擎一一进行解释,所以效率比较低.

技术选型

- - 企业架构 - ITeye博客
MVC Framwork: SpringMVC3.0 Restful的风格终于回归了MVC框架的简单本质,对比之下Struts2概念太复杂更新又太懒了. Template:JSP2.0且尽量使用JSP EL而不是taglib,万一要写taglib也用纯JSP来编写,一向是SpringSide的推荐,Freemarker们始终有点小众, 而Thymeleaf与美工配合度非常高,可惜也是太少用户了.

技术 in Netflix

- - 后端技术杂谈 | 飒然Hang
综合市面上的公开资料总结了Netflix在技术上面的一些实践和创新,从中能够得到不少启发和提示.

新兴交互方式探析

- - UX 一淘体验中心
       在互联网这个领域,每天都有不计其数的产品诞生,有些产品只是灵光一现,有的却存活了下来,但是不论存活与否,这些产品上总有一些设计细节让我们眼前一亮,下文中分类整理了一些不错的交互形式,希望能给大家带来新的设计灵感. Google+导航的隐藏功能.                                               Google+作为google进入社交领域的第一个产品,在交互方式有很多亮点,比如在导航的扩展性上,可以把不常用的标签拖放到“更多”中,从而使导航界面更简洁,这个操作进行时的效果也很精致、流畅.