4जी एलटीई भेद्यता बातचीत और सभी डेटा ट्रैफ़िक पर जासूसी करने में सक्षम बनाती है

4जी एलटीई भेद्यता दुर्भावनापूर्ण पक्षों को एक डिवाइस को असुरक्षित नेटवर्क से कनेक्ट करने और संभवतः सभी डेटा ट्रैफ़िक को छीनने की अनुमति देती है।

हमारे मंचों पर गोपनीयता-दिमाग वाले पाठकों के लिए, जब आप बाहर हों तो संभवतः आप किसी भी खुले वाईफाई हॉटस्पॉट से दूर रहें। यदि आप उन भाग्यशाली लोगों में से एक हैं जिनके पास Google द्वारा समर्थित चुनिंदा Nexus या Pixel डिवाइस है वाईफ़ाई सहायक, तो शायद आप असुरक्षित नेटवर्क का उपयोग करने के बारे में इतने चिंतित नहीं हैं। लेकिन हममें से बाकी लोगों के लिए, हम इंटरनेट पर किसी भी महत्वपूर्ण वित्तीय, शैक्षणिक या निजी डेटा को रूट करने के लिए अपने वाहक के 4जी नेटवर्क पर बहुत अधिक निर्भर हैं। हालाँकि, दुर्भाग्य से, ऐसा प्रतीत होता है कि हमारा 4G LTE कनेक्शन शायद उतना सुरक्षित नहीं होगा जैसा कि हमें पहले विश्वास करने के लिए प्रेरित किया गया था। हाल ही में Qihoo 360 के एक चीनी नेटवर्क सुरक्षा शोधकर्ता वानकियाओ झांग अगस्त में DEFCON 24 में एक प्रस्तुति आयोजित की इस वर्ष LTE भेद्यता का वर्णन किया गया है।

स्रोत: वानकियाओ झांग

शोध पत्र में, टीम एक विधि का वर्णन करती है

किसी लक्षित स्मार्टफ़ोन को उसके LTE नेटवर्क से हटाकर एक असुरक्षित, समझौता किए गए नेटवर्क पर मजबूर करना। हमले में एलटीई डिवाइस के आईएमएसआई को इकट्ठा करना और फिर डिवाइस को नकली एलटीई नेटवर्क से कनेक्ट करने के लिए धोखा देना शामिल है। एक बार जब पीड़ित समझौता किए गए नेटवर्क से जुड़ जाता है, तो हमलावर कई प्रकार के दुर्भावनापूर्ण कार्य करने में सक्षम होता है, जिसमें शामिल हैं सेवा की मनाई, कॉल/टेक्स्ट का पुनर्निर्देशन, या इससे भी बदतर स्थिति में सभी ध्वनि और डेटा ट्रैफ़िक पर नज़र रखना. उनकी टीम के डेमो ने विशेष रूप से FDD-LTE नेटवर्क को लक्षित किया जो वर्तमान में ब्रिटेन, संयुक्त राज्य अमेरिका और ऑस्ट्रेलिया में काम कर रहे हैं। हालाँकि, झांग का कहना है कि इस प्रकार का हमला दुनिया के किसी भी एलटीई नेटवर्क पर संभव है, जिसमें कई एशियाई देशों में आमतौर पर पाए जाने वाले टीडीडी-एलटीई नेटवर्क भी शामिल हैं।

दुःख की बात है, नियामक संस्था जिम्मेदार एलटीई मानकों की देखरेख और कार्यान्वयन के लिए 2006 में ही इस भेद्यता को स्वीकार कर लिया था जब उन्होंने झांग के मैन-इन-द-मिडिल हमले की संभावना को स्वीकार किया था। हाल ही में मई में, 3GPP ने सुरक्षा भेद्यता के लिए एक संभावित समाधान प्रस्तावित किया: एकतरफा प्रमाणीकरण से इनकार करना और बेस स्टेशनों से एन्क्रिप्शन डाउनग्रेड अनुरोधों को छोड़ना। इन उपायों से दुर्भावना को रोका जा सकेगा femtocel आपके फ़ोन को एकतरफा रूप से हाईजैक करने और उसके नेटवर्क सुरक्षा उपायों को डाउनग्रेड करने से।

इस भेद्यता पर अब तक अधिक ध्यान नहीं दिया गया है सुरक्षा शोधकर्ताओं ने इसके बारे में एक पेपर लिखा पिछले साल (पीडीएफ). इस पेपर के प्रकाशित होने के कुछ ही समय बाद हमने देखा कि एसीएलयू को दस्तावेज़ प्राप्त हुए थे जिनमें बताया गया था कि सरकार की स्टिंग्रे परियोजना में समान कार्यक्षमताएँ थीं। बहुत से लोग अभी भी यह नहीं जानते हैं कि स्टिंगरे ट्रैकिंग डिवाइस वास्तव में कैसे काम करते हैं, हालांकि लोग प्रौद्योगिकी और हाल ही में शोध किए गए एलटीई के बीच समानताएं निकालना शुरू कर दिया है भेद्यता।

जो लोग अपने डेटा और संचार को निजी रखना चाहते हैं, उनके लिए एक वीपीएन जो ओपनवीपीएन और उसके टीएलएस प्रोटोकॉल का उपयोग करता है, आपके डेटा को निजी रखने में सक्षम होगा। आप उन वीपीएन से दूर रहना चाहेंगे जो पीपीटीपी/एल2टीपी/सॉक्स कनेक्शन विधियों का उपयोग करते हैं क्योंकि वे अभी भी हमलों के प्रति संवेदनशील हो सकते हैं। 3जीपीपी को इस मुद्दे के बारे में अवगत कराए हुए 10 साल से अधिक समय हो गया है और उन्होंने अभी तक इस सुरक्षा छेद को ठीक करने के लिए अद्यतन एलटीई प्रोटोकॉल लागू नहीं किया है। आसानी से उपलब्ध हार्डवेयर के साथ, जो अब इन हमलों को रोक सकता है, हालाँकि, अपने डेटा को निजी रखना आप पर निर्भर करेगा।

स्रोत: रजिस्टर