文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

腾讯演示5G安全漏洞:可向用户发送仿冒银行短信

2024-12-14 05:14

关注

10月24日,在GeekPwn 2020 国际安全极客大赛上,腾讯安全玄武实验室高级研究员李冠成、戴戈演示了一项最新的5G安全研究发现:利用5G通信协议的设计问题,黑客可以“劫持”同一个基站覆盖下的任意一台手机的TCP通讯,包括各类短信收发、App和服务端的通信均有可能被劫持。

李冠成和戴戈演示了攻破5G消息(RCS)的过程,以“20201024”的号码向一台指定的手机发送了一条消息。

[[348529]]

实际上,消息不仅仅是可以以“20201024”的号码发出,而是可以模仿任意号码。

 

据腾讯方面介绍,这一漏洞意味着,用户收到一条显示为“955**”的银行短信或者App消息推送有可能来自未知的恶意用户,黑产团伙可以利用这个漏洞实施多种形式的攻击,例如伪造银行向受害者发送短信告知异常交易,引导受害者去点击一个链接,实际上这个链接被植入木马,可以窃取受害者银行卡信息;也有可能伪造受害者的手机号向其家人发短信,提出转账或者其他要求;甚至劫持任意HTTP访问,造成用户账号密码等敏感信息泄露。

据玄武实验室透露,这项漏洞是通信协议漏洞,不依赖于任何特定设备或者网络环境,只要攻击者和被攻击者处于同一个基站覆盖下就可以完成攻击,并且整个过程用户侧毫无感知。5G、4G、3G通信协议中均存在这个漏洞。

“这个问题影响世界上所有的手机,”腾讯安全玄武实验室负责人于旸告诉澎湃新闻(www.thepaper.cn)记者,“4G5G下跑的RCS都是可以被劫持,实际上(利用这一漏洞)可以‘劫持’4G和5G下任何的网络通信。”

“随着通信技术的升级换代,从整体上看5G通讯在安全性上有了更大的保障,但并不意味着我们可以对5G安全问题掉以轻心。”腾讯安全玄武实验室高级研究员李冠成表示。

“我们会通知信息安全主管部门,然后也会跟相关的标准组织知会这件事情。”于旸表示。

不过,对于普通用户来说可能不必过多担心。于旸认为,该漏洞攻破的技术难度“相当之大”,“在我们实验室历史研究里,这个算是比较难的。”谈及漏洞的发现过程,腾讯安全玄武实验室高级研究员李冠成和戴戈称,5G的标准文档量非常大,如何从数千万字的海洋里发现漏洞,是非常困难的事情。

发现漏洞,然后将其公布给厂商修复,以免“黑帽黑客”从中盗取信息、牟利,这是“白帽黑客”的工作日常。每年的GeekPwn国际安全极客大赛会汇集大批白帽黑客,在本次比赛中,挑战者演示了自制雷达干扰自动驾驶的汽车等场景。

碁震KEEN公司创始人、GeekPwn大赛发起创办人王琦在大会上表示,“极客不应该是黑色的,也不应该是神秘的。极客其实像医务工作者一样,通过提前发现漏洞来避免问题。我相信极客可以用自己的好奇心去发现未知的缺陷,可以用自己的责任感去吹响提醒的号角。”

来源:澎湃新闻内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯