In the Clear

One of the 5G network's main improvements to thwart stingrays is a more comprehensive scheme for encrypting device data, so that it doesn't fly around in an easily readable, plaintext format. But the researchers found enough lapses in this setup to sneak a pair of 5G stingray attacks through.

When a device "registers" with a new cell tower to get connectivity, it transmits certain identifying data about itself. As with the current 4G standard, 5G doesn't encrypt that data. As a result, the researchers found that they could collect this information with a stingray, and potentially use it to identify and track devices in a given area.

The researchers found that they could use that unencrypted data to determine things like which devices are smartphones, tablets, cars, vending machines, sensors, and so on. They can identify a device's manufacturer, the hardware components inside it, its specific model and operating system, and even what specific operating system version an iOS device is running. That information could allow attackers to identify and locate devices, particularly in a situation where they already have a target in mind, or are looking for a less common model.

That degree of data exposure is problematic but not necessarily urgent, since it's general enough that only some devices would be specifically identifiable. Fifteen CCTV cameras in an area, or nine iPhone 8s, would likely be difficult to differentiate. But the researchers also found a second problem that compounds the issue.

It turns out that the same exposure that leaks details about a device also creates the opportunity for a man-in-the-middle, like a stingray, to manipulate that data. The telecom industry divides types of devices are divided into categories from 1 to 12 based on how sophisticated and complex they are; something like a smartphone is a 12, while simplistic Internet of Things devices might be a 1 or 2. One purpose of that categorization is to signal which data network a device should connect to. More complex, higher-category devices look for the 5G or 4G network, but low-category devices only accept 2G or 3G connections, because they don't need faster speeds.

The researchers found that they could use their first stingray attack to modify a device's stated category number during the connection process, downgrading it to an older network. At this point, older stingray attacks would apply, and a hacker could move forward with communication surveillance or more specific location tracking.

"For the attack, you are, say, connecting an iPhone as a simple IoT device," says Altaf Shaik, a researchers at the Technical University of Berlin. "You downgrade the service and bring the speed down. At that point a classic IMSI catcher will work again. This should not happen."

The ability to modify category data is actually not a flaw in the 5G specification itself, but an implementation issue perpetuated by carriers. If the system were set up to launch its security protections and data encryption earlier in the connection process, the attack would be moot. But carriers are mostly leaving this data in the clear and at risk for manipulation. Out of 30 carriers the researchers evaluated in Europe, Asia, and North America, 21 offered connections that were vulnerable to downgrading attacks. Only nine elected to build their systems for launching security protections earlier in the connection process.

The researchers even found that with a similar attack they could block devices from entering a "Power Saving Mode" usually triggered by a network message. Once a device has a stable data connection, it will often wait for a message from its network saying that it can stop scanning for cell connectivity and trying to reconnect, a power-hungry endeavor over time. But the researchers found that they could manipulate the unprotected device information exposed in 5G to suppress these messages and drain a device's battery five times faster than if it were in power saving mode—a potential safety issue for embedded devices like sensors or controllers.

Ngoài vòng nguy hiểm

Một trong những điểm đột phá chính của mạng 5G để ngăn chặn công nghệ do thám Stingrays là  một kế hoạch toàn diện hơn cho việc viết lại mật mã các thiết bị dữ liệu để chúng  không rải rác dưới dạng văn bản đơn giản, dễ đọc trộm. Tuy nhiên, những nhà nghiên cứu phát hiện những sai sót trong dự án này đủ nhiều để khiến dữ liệu mạng 5G  dễ bị đánh cắp.   

Khi một thiết bị  đăng ký với nhà mạng để được kết nối, thiết bị đó tự  phát ra tín hiệu nhận dạng nhất định. Với tiêu chuẩn hiện tại của mạng 4G, mạng 5G không thể mã hóa lại thành mật mã. Kết quả là những nhà nghiên cứu nhận ra họ có thể thu thập thông tin bằng công nghệ hiện đại do thám điện thoại di động và sử dụng hiệu quả nó để phát hiện và theo dõi những thiết bị ở khu vực được được chỉ ra.

Nhà nghiên cứu nhận thấy rằng họ có thể dùng dữ liệu phi mã hóa để xác định những thiết bị như: điện thoại thông minh, máy tính bảng, ô tô, máy bán hàng tự động, máy cảm biến,... Chúng có thể nhận ra nơi sản xuất của thiết bị đó, thành phần ổ cứng bên trong thiết bị, mô hình cụ thể và hệ thống vận hành. Và thậm chí chính xác hệ thống vận hành nào đang chạy trên thiết bị đó. Thông tin đó có thể cho phép những kẻ tấn công xác định và định vị thiết bị, đặc biệt với những trường hợp, nơi mà họ đã xác định mục đích sẵn trong đầu, hoặc họ đang tìm kiếm một mô hình ít thông dụng hơn.

Mức độ phơi bày dữ liệu trên là một vấn đề cần phải bàn luận, nhưng không quá cấp thiết, bởi vì thông thường chỉ có một số thiết bị có thể nhận dạng được cụ thể. 15 máy quay CCTV trong khu vực, hoặc 9 iPhone 8s có thể khó để phân biệt. Những nhà nghiên cứu cũng nhìn ra vấn đề thứ hai mà càng làm cho vấn đề tồi tệ hơn.

Hóa ra vấn là sự tiếp xúc khiến rò rỉ thông tin chi tiết về một thiết bị cũng tạo ra cơ hội cho cuộc tấn công xen giữa, ví dụ như công nghệ do thám stingray, điều khiển dữ liệu đó. Ngành công nghiệp viễn thông chia những loại thiết bị thành loại từ 1 đến 12 dựa trên mức độ tinh vi và phức tạp của thiết bị đó. Một thiết bị giống như điện thoại thông minh được phân vào loại 12, trong khi đó những thiết bị IoT(vạn vật kết nối) có thể được là 1 hoặc 2. Một mục đích của việc phân loại đó là để ra tín hiệu thiết bị nên kết nối với mạng lưới dữ liệu nào. Phức tạp hơn, những thiết bị được phân loại cao hơn tìm kiếm mạng 5G hoặc 4G, nhưng thiết bị loại thấp hơn thì chỉ chấp nhận mạng 2G hoặc 3G bởi vì chúng không cần tốc độ nhanh hơn.

Những nhà nghiên cứu nhận thấy rằng họ có thể sử dụng cuộc tấn công công nghệ do thám điện thoại di động đầu tiên để điều chỉnh thứ tự  phân loại của thiết bị trong suốt quá trình kết nối, giáng chức xuống mạng lưới cũ hơn. Vào thời điểm này, các vụ tấn công bằng công nghệ do thám cũ hơn sẽ được áp dụng, và một hacker có thể tiếp tục với những thông tin liên lạc được giám sát hoặc vị trí tgheo dõi cụ thể.  

Altaf Shaik – nhà nghiên cứu tại trường Đại học Kỹ Thuật Béc-lin chia sẻ:“ Trong một cuộc tấn công, bạn có thể cho rằng kết nối một chiếc iPhone như là một thiết bị IoT đơn giản. Bạn đánh giá thấp dịch vụ và làm giảm tốc độ. Vào thời điểm đó, khóa dừng IMSI  cổ điển sẽ hoạt động lại. Điều này lẽ ra không thể xảy ra”.

 Khả năng điều chỉnh phân loại dữ liệu thực tế không phải là lỗi trong đặc điểm kỹ thuật của mạng 5G. Tuy nhiên, việc  giải quyết vấn đề được duy trì bởi sóng mạng. Nếu hệ thống được thiết lập để đưa ra giải pháp an ninh và mã hóa thông tin sớm hơn trong quá trình kết nối, cuộc tấn công sẽ là vấn đề bàn luận. Nhưng những sóng mang hầu hết để dữ liệu này rõ ràng, không bằng mật mã và có nguy cơ bị điều khiển. Trong số 30 sóng mang mà những nhà nghiên cứu đánh giá ở Châu Âu, Châu Á và Bắc Mỹ thì có 21 sóng mang có cung cấp kết nối, cái mà dễ bị đánh giá thấp. Chỉ có 9 sóng là được lựa chọn để xây dựng hệ thống cho đưa ra biện pháp bảo vệ an ninh sớm hơn trong quá trình kết nối.

Nhà nghiên cứu thậm chí nhận ra rằng với một cuộc tấn công tương tự, họ có thể chặn các thiết bị đăng nhập vào “Power Saving Mode” thường được gây ra bởi mạng lưới thông báo. Một khi, thiết bị đã có nền tảng kết nối dữ liệu vững chắc, thiết bị đó sẽ thường đợi tín hiệu báo lỗi là thiết bị có thể ngừng quét và cố gắng kết nối lại, sự khao khát cố gắng kết nối nhiều lần. Nhưng nhà nghiên cứu nhận ra rằng họ có thể điều khiển thông tin không được bảo vệ khi tiếp xúc với mạng 5G để ngăn chặn những lỗi và rút hết pin của thiết bị nhanh hơn gấp năm lần nếu thiết bị đó ở chế độ tiết kiệm pin - giải pháp an toàn tiềm năng cho thiết bị gài trong như  bộ cảm biến hoặc bộ điều chỉnh.