Академические исследователи разработали новый практический метод атаки под названием Sni5Gect Attack. Он способен вызывать сбой в работе мобильных телефонов и принудительно понижать их подключение со стандарта 5G до менее защищенной сети 4G. Ключевой особенностью является то, что для проведения атаки не требуется развертывание мошеннической базовой станции, что делает ее более реальной угрозой по сравнению с предыдущими моделями атак на сети пятого поколения.
За разработкой стоит исследовательская группа ASSET (Automated Systems SEcuriTy) из Сингапурского университета технологии и дизайна (SUTD). В состав команды входят исследователи Шицзе Ло, Матеус Гарбелини, Судипта Чаттопадхьяй и Цзяньин Чжоу. Они создали инструментарий с открытым исходным кодом под названием Sni5Gect (сокращение от "Sniffing 5G Inject").
Инструментарий Sni5Gect функционирует по принципу «человек посередине». Он позволяет злоумышленнику перехватывать (прослушивать) незашифрованные сообщения между телефоном (пользовательским оборудованием, UE) и базовой станцией (gNB), а затем внедрять вредоносные сообщения, направленные обратно на телефон.
Атака нацелена на уязвимую фазу первоначального процесса подключения устройства к сети (процедура "UE attach"), которая происходит до установления аутентификации и шифрования. Процесс начинается с пассивного прослушивания незашифрованных сообщений. Инструмент в реальном времени декодирует их для отслеживания состояния протокола соединения.
Ключевым шагом является прослушивание сообщения RAR (Random Access Response) для получения временного идентификатора устройства (RNTI). Получив эту информацию, злоумышленник внедряет вредоносную нагрузку в нисходящий канал связи — от сети к телефону. Поскольку атака происходит до активации механизмов безопасности, знание учетных данных жертвы, таких как секретные ключи SIM-карты, не требуется.
Возможности фреймворка Sni5Gect позволяют выполнять несколько вредоносных действий. К ним относятся: сбой модема пользовательского устройства, принудительное понижение сетевого стандарта до 4G, что открывает возможность для использования известных уязвимостей 4G, например, для отслеживания местоположения пользователя. Также возможны снятие цифрового отпечатка устройства (device fingerprinting) и потенциальный обход проверок аутентификации.
Данная работа основывается на предыдущем исследовании той же группы ASSET, опубликованном в конце 2023 года. В нем были представлены уязвимости под общим названием 5Ghoul — набор из 14 недостатков, обнаруженных в прошивках 5G-модемов от ведущих производителей, включая MediaTek и Qualcomm. Уязвимости 5Ghoul позволяли обрывать или замораживать соединения, требуя ручной перезагрузки устройства, и также понижать стандарт связи до 4G.
Исследователи успешно протестировали атаку Sni5Gect на пяти моделях смартфонов, среди которых были OnePlus Nord CE 2, Samsung Galaxy S22, Google Pixel 7 и Huawei P40 Pro. Атака оказалась успешной на расстоянии до 20 метров. Точность перехвата сообщений составила 80% как для восходящего, так и для нисходящего трафика, а успешность внедрения вредоносных сообщений достигла 70-90%.
Ассоциация GSMA (Global System for Mobile Communications Association), представляющая интересы операторов мобильной связи по всему миру, официально признала данную угрозу. Многоступенчатой атаке на понижение стандарта связи был присвоен идентификатор CVD-2024-0096.
Разработчики утверждают, что Sni5Gect является первым фреймворком, обеспечивающим одновременно прослушивание эфира и внедрение сообщений с отслеживанием состояния (stateful injection) без необходимости использования мошеннической базовой станции. Они считают его «фундаментальным инструментом», который будет способствовать будущим исследованиям в области обнаружения и предотвращения вторжений в сетях 5G, улучшения безопасности физического уровня 5G и разработки более широких методов эксплуатации уязвимостей.
Изображение носит иллюстративный характер
За разработкой стоит исследовательская группа ASSET (Automated Systems SEcuriTy) из Сингапурского университета технологии и дизайна (SUTD). В состав команды входят исследователи Шицзе Ло, Матеус Гарбелини, Судипта Чаттопадхьяй и Цзяньин Чжоу. Они создали инструментарий с открытым исходным кодом под названием Sni5Gect (сокращение от "Sniffing 5G Inject").
Инструментарий Sni5Gect функционирует по принципу «человек посередине». Он позволяет злоумышленнику перехватывать (прослушивать) незашифрованные сообщения между телефоном (пользовательским оборудованием, UE) и базовой станцией (gNB), а затем внедрять вредоносные сообщения, направленные обратно на телефон.
Атака нацелена на уязвимую фазу первоначального процесса подключения устройства к сети (процедура "UE attach"), которая происходит до установления аутентификации и шифрования. Процесс начинается с пассивного прослушивания незашифрованных сообщений. Инструмент в реальном времени декодирует их для отслеживания состояния протокола соединения.
Ключевым шагом является прослушивание сообщения RAR (Random Access Response) для получения временного идентификатора устройства (RNTI). Получив эту информацию, злоумышленник внедряет вредоносную нагрузку в нисходящий канал связи — от сети к телефону. Поскольку атака происходит до активации механизмов безопасности, знание учетных данных жертвы, таких как секретные ключи SIM-карты, не требуется.
Возможности фреймворка Sni5Gect позволяют выполнять несколько вредоносных действий. К ним относятся: сбой модема пользовательского устройства, принудительное понижение сетевого стандарта до 4G, что открывает возможность для использования известных уязвимостей 4G, например, для отслеживания местоположения пользователя. Также возможны снятие цифрового отпечатка устройства (device fingerprinting) и потенциальный обход проверок аутентификации.
Данная работа основывается на предыдущем исследовании той же группы ASSET, опубликованном в конце 2023 года. В нем были представлены уязвимости под общим названием 5Ghoul — набор из 14 недостатков, обнаруженных в прошивках 5G-модемов от ведущих производителей, включая MediaTek и Qualcomm. Уязвимости 5Ghoul позволяли обрывать или замораживать соединения, требуя ручной перезагрузки устройства, и также понижать стандарт связи до 4G.
Исследователи успешно протестировали атаку Sni5Gect на пяти моделях смартфонов, среди которых были OnePlus Nord CE 2, Samsung Galaxy S22, Google Pixel 7 и Huawei P40 Pro. Атака оказалась успешной на расстоянии до 20 метров. Точность перехвата сообщений составила 80% как для восходящего, так и для нисходящего трафика, а успешность внедрения вредоносных сообщений достигла 70-90%.
Ассоциация GSMA (Global System for Mobile Communications Association), представляющая интересы операторов мобильной связи по всему миру, официально признала данную угрозу. Многоступенчатой атаке на понижение стандарта связи был присвоен идентификатор CVD-2024-0096.
Разработчики утверждают, что Sni5Gect является первым фреймворком, обеспечивающим одновременно прослушивание эфира и внедрение сообщений с отслеживанием состояния (stateful injection) без необходимости использования мошеннической базовой станции. Они считают его «фундаментальным инструментом», который будет способствовать будущим исследованиям в области обнаружения и предотвращения вторжений в сетях 5G, улучшения безопасности физического уровня 5G и разработки более широких методов эксплуатации уязвимостей.
