De onderzoekers Sturen Valse Presidentiële Waarschuwingen Stadion van 50.000 Gebruik van LTE Kwetsbaarheid

18

Illustration for article titled Researchers Send Fake Presidential Alerts to Stadium of 50,000 Using LTE Vulnerability Foto: Getty

Onderzoekers ontdekten een manier misbruik te maken van het systeem dat stuurt presidential emergency alerts om onze telefoons, het simuleren van hun methode op een 50.000 stoel voetbalstadion in Colorado met een 90 procent kans op succes.

Onderzoekers aan de Universiteit van Colorado in Boulder een paper gepubliceerd deze maand dat de details van hoe ze in staat waren om een spoof van een aanval op de Wireless Emergency Alert (WEA) – programma, dat kan uitsturen van AMBER alerts, presidentiële waarschuwingen, en beide extreme en ernstige bedreigingen voor de veiligheid.

Noodoproepen worden verzonden naar elke mobiele apparaat binnen het bereik van de uitzendingen van zendmasten. Maar de onderzoekers er rekening mee dat een kwaadaardige cel toren kanaal is geschikt voor de gek te houden van het systeem, en op zijn beurt het verzenden van een niet-authentieke emergency alert te zijn op alle apparaten binnen het bereik.

De onderzoekers testten deze LTE kwetsbaarheid door het creëren van hun eigen kwaadaardige cel toren kanaal met behulp van off-the-shelf hardware en open source software bij de implementatie van hun exploitatie, dat in één exemplaar werd gebruikt in een experiment bij Folsom Field aan de Universiteit van Colorado in Boulder.

De onderzoekers niet uitvoeren van een daadwerkelijke aanval op een live publiek in het stadion of op mobiele apparaten, Eric le marin, een onderzoeker op het papier, vertelde Gizmodo in een e-mail. De tests werden in plaats daarvan gedaan in geïsoleerde RF shield dozen, Wustrow zei: “en onze analyse van de Folsom Field was een combinatie van empirisch verzamelde gegevens en simulatie.” Een screenshot van het papier hieronder ziet u wat deze spoof aanvallen leek op zowel een Samsung Galaxy S8 en een iPhone-X.

Tests sent to phones running Android and iOS Tests verzonden naar telefoons die draaien op Android en iOSScreenshot: ACM Digital Library

“Om het beste van onze kennis, dit is de eerste experimenteel geverifieerd werk dat onthult de mogelijke risico’ s van CMAS-spoofing,” de onderzoekers schreven in de krant. CMAS verwijst naar de standaard WEA gebruikt voor het verzenden van de noodoproepen. De onderzoekers toegevoegd dat de LTE-netwerken in landen als Europa, de VS en Zuid-Korea hebben allemaal systemen die ontworpen zijn met de principes vergelijkbaar met die van de CMAS, “waardoor ze potentiële doelen voor dezelfde aanval.”

De onderzoekers een aantal mogelijke preventieve maatregelen die kunnen worden genomen, zodat de vervalsing aanval simuleerden zij zal niet gebeuren IRL. Zij adviseren digitale handtekeningen voor de verificatie van de berichten zowel als meer veilig verificatie van het netwerk en de locatie van het netwerk en de mobiele toren-kanaal. “Het oplossen van dit probleem vergt een grote gezamenlijke inspanning tussen de vervoerders, overheid belanghebbenden, en mobiele telefoon fabrikanten,” de onderzoekers schreven.

De nare gevolgen van het hebben van een dergelijk systeem kwetsbaar voor slechte acteurs zijn niet moeilijk voor te stellen—tienduizenden mensen in een drukke omgeving ontvangen van een dreigende of recht omhoog levensgevaarlijke waarschuwing tegelijkertijd is het onwaarschijnlijk om goed te eindigen. En slechte acteurs, opzij, we hebben gezien de zeer reële traumatische effecten van het falen van een emergency alert system—vorig jaar, wat kan worden gekookt tot een prettige communicatie incident resulteerde in het verzenden van een onmiddellijke dreiging van ballistische raketten voor de inwoners van Hawaii.

Terwijl dat helemaal niet is een beveiligingsprobleem probleem, er zijn tal van voorbeelden van hoe menselijke fouten en technische gebreken hebben geplaagd een systeem dat ontworpen is om mensen te informeren van noodsituaties en het dreigende gevaar. Als een andere zwakte, zoals een lek in de mobiele communicatie standaard wordt het systeem is gebouwd op, leidt tot nog meer valse alarmen, er zijn waarschijnlijk alleen de twee verontrustende resultaten—een verlies van het geloof in het systeem, of onnodige en gevaarlijke massa in paniek. En wanneer senatoren zijn geïnteresseerd in het injecteren van deze waarschuwingen in diensten als Netflix en Spotify, die we maar beter voor zorgen dat als de hel kunnen ze niet worden geschroefd met.

Deel Dit Verhaal