5G技术存在的安全漏洞可能导致移动设备遭受数据盗窃和拒绝服务(DoS)攻击。研究人员发现，攻击者可以通过设置假基站和利用5G身份验证和密钥协议(AKA)中的漏洞，轻易地绕过身份验证过程，实现对用户互联网流量的嗅探和篡改。这种攻击方式不仅容易实施，而且成本低廉，攻击者可以在网上以几百美元的价格购买所需设备。

攻击者可利用AKA中的安全标头处理不当漏洞，完全绕过认证过程，从而成为受害者的互联网服务提供商，未加密地查看用户所有网络活动，甚至发送钓鱼短信或将用户重定向至恶意网站。此外，研究人员还发现了其他可利用的漏洞，用以确定设备位置和执行DoS攻击。

为应对这些安全风险，研究人员已将发现的漏洞报告给相关移动供应商，供应商也已部署补丁。然而，更彻底的解决方案需要从加强5G认证机制入手，例如使用公钥基础设施(PKI)加密，但这将涉及高昂的成本和复杂的技术挑战。5G系统在设计时考虑了信息传输的实时性，采用纯文本广播，缺乏对初始广播消息的认证，这正是安全隐患的根源所在。

由于5G技术存在漏洞，移动设备面临肆意数据盗窃和拒绝服务的风险。在即将于拉斯维加斯举行的Black Hat 2024大会上，一支由七名宾夕法尼亚州立大学研究人员组成的团队将介绍黑客如何通过直接向您提供互联网连接，超越嗅探您的互联网流量。从那里开始，间谍活动、网络钓鱼等各种活动都已准备就绪。他们说，这是一种非常容易实施的攻击形式，涉及常常被忽视的漏洞和可以在网上花几百美元买到的设备。

注：5G网络对4G中使用的AKA协议（在4G中被称为EPS-AKA）做了进一步增强，形成了5G-AKA认证机制。在5G-AKA认证过程中，归属地运营商仅将认证向量的一部分（RAND，HXRES*，…）发送给拜访地运营商，其中关键的是拜访地运营商获得的是认证校验信息（XRES*）的Hash值，而不是全量信息。而在认证响应中，用户验证通过后才将全量认证信息发送给拜访地运营商，其中包括RES*；拜访地运营商对RES*进行Hash后与HXRES*对比，能有效完成用户校验。校验通过后，拜访地运营商需要将包含RES*的全量认证信息反馈给归属地运营商，经归属地运营商认证后才能完成整个认证流程。

步骤1：设置假基站

当设备首次尝试连接移动网络基站时，两者会进行身份验证和密钥协议(AKA)。设备发送注册请求，基站回复身份验证和安全检查请求。

虽然电视台审查手机，但手机并不审查电视台。它的合法性基本上是理所当然的。

“基站通过每20分钟或40分钟广播一次‘你好’消息来宣传其在特定区域的存在，这些广播消息都没有身份验证或任何类型的安全机制，”宾夕法尼亚州立大学研究助理Syed Md Mukit Rashid解释道。“它们只是纯文本消息。因此，手机或设备无法检查它是否来自假塔。”

设置一座假塔并不像看起来那么困难。你只需要用Raspberry Pi或更好的软件定义无线电(SDR)模拟一个真正的塔。正如宾夕法尼亚州立大学的另一位研究助理Kai Tu指出的那样，“人们可以在网上购买它们——它们很容易买到。然后你可以得到一些开源软件(OSS)来在其上运行，这种设置可以用作假基站。”昂贵的SDR可能要花费数万美元，但能完成工作的廉价SDR只需几百美元。

一个小装置就能将你的手机从现有的商业信号塔上引诱出去，这似乎有点违反直觉。但利用附近的SDR进行有针对性的攻击，可以提供比同时为数千人提供服务的信号塔更强的5G信号强度。“从本质上讲，设备会尝试连接到最好的蜂窝塔，也就是信号强度最高的蜂窝塔，”拉希德说。

步骤2：利用漏洞

与任何安全过程一样，AKA也可能被利用。例如，在某知名品牌移动处理器中集成的5G调制解调器中，研究人员发现了一个处理不当的安全标头，攻击者可利用它完全绕过AKA过程。

全球两大智能手机公司生产的大多数设备都采用了这款处理器。Dark Reading已同意对其名称保密。

在吸引目标设备后，攻击者可以使用此AKA绕过来返回恶意制作的“注册已接受”消息并发起连接。此时，攻击者成为受害者的互联网服务提供商，能够以未加密的形式看到他们在网络上所做的一切。他们还可以通过发送鱼叉式网络钓鱼短信或将受害者重定向到恶意网站等方式吸引受害者。

虽然AKA绕过是最严重的，但研究人员发现了其他漏洞，这些漏洞可以让他们确定设备的位置并执行拒绝服务(DoS)。

如何确保5G安全

宾夕法尼亚州立大学的研究人员已将他们发现的所有漏洞报告给各自的移动供应商，供应商均已部署了补丁。

然而，更持久的解决方案必须从确保5G身份验证开始。正如Rashid所说，“如果你想确保这些广播消息的真实性，你需要使用公钥[基础设施]加密(PKI)。而部署PKI的成本很高——你需要更新所有的蜂窝塔。此外，还有一些非技术挑战。例如，谁将成为公钥的根证书颁发机构？”

这种彻底改革不太可能很快发生，因为5G系统在设计时就考虑到了以纯文本传输信息这一特定原因。

“这是一个激励问题。信息以毫秒为单位发送，因此如果你采用某种加密机制，它将增加基站和用户设备的计算开销。计算开销也与时间有关，因此从性能方面来看，它会慢一点，”拉希德解释道。

也许性能激励比安全激励更重要。但无论是通过假手机信号塔、Stingray设备还是任何其他方式，“它们都利用了这一特性——缺乏对手机信号塔初始广播消息的认证。”

拉希德补充道：“这是一切罪恶的根源。”

参考资源：

1.https://www.darkreading.com/mobile-security/your-phone-s-5g-connection-is-exposed-to-bypass-dos-attacks

2.https://www.blackhat.com/us-24/briefings/schedule/#cracking-the-g-fortress-peering-into-gs-vulnerability-abyss-40620

3.https://www.darkreading.com/endpoint-security/middle-easts-5g-acceleration-may-pose-serious-security-issues