长期演进技术(LTE)移动设备标准目前已经被全球数十亿用户所使用,皆在于修复全球移动通信(GSM)的主要安全短板。其中两大变革就是在基站和终端用户之间进行双向交互认证,以及使用经受过考研的加密方案。不过,近日安全开发人员找到了LTE网络中的不足之处 ,允许攻击者向基站附近的用户发送恶意网站并了解用户所访问的网站历史。
这是由于LTE标准自身存在的漏洞所导致的,实测攻击有效。LTE最关键的不足在于加密的形式并不会保护数据的完整性。缺乏数据认证使得攻击者可以暗中操纵加密数据包中的IP地址。
这款攻击技术称之为aLTEr,安全研究人员已经可以让终端手机访问恶意的DNS服务器,甚至可以重定向用户至伪装成为HotMail的恶意服务器上。此外还有两个漏洞涵盖LTE映射用户的方式,在终端用户和基站进行数据交互的时候能够窃取敏感信息。
在本周四发表的一篇论文中,安全研究人员表示大约只要4000美元的设备,就能对目标大约1英里范围的终端用户发起攻击。由于这些漏洞是LTE规范开发过程中存在的设计缺陷,因此目前尚无法对其进行修补。对于终端用户来说,只能访问HTTPS网站和DNS Security Extensions来确保安全。