Mobilnät skapades ursprungligen för att hacka –

Idag, alla standarder vi använder är designade med millimeterprecision för att undvika bakdörrar eller några säkerhetsintrång … Så ska det åtminstone vara, eftersom bakdörrar tyvärr inte är ovanliga i branschen. Nu har de upptäckt att de mobilnät vi använder idag ursprungligen var designade för att vara osäkra.

Detta upptäcktes i en studie som heter ” Krypteringsanalys av GPRS-krypteringsalgoritmerna GEA-1 och GEA-2 “. I den hävdar forskarna att de har hittat tillräckligt med bevis i Krypteringsalgoritm GEA-1 Använd i GPRS-nätverk hävda att dessa nätverk var designade för att hackas. För att göra detta kunde de upptäcka förekomsten av ovanliga mönster som indikerar närvaron av sårbarheter, inkluderade som standard för att begränsa säkerhetsnivån.

GPRS-standarder är en fortsättning GSM-standard (2G och 3G) som gjorde det möjligt för mobiltelefoner att använda data över mobila nätverk innan 4G LTE-nätverket kom. För att säkerställa datasäkerheten innehåller standarden skydd för vilka krypteringsstandarderna GEA-1 och GEA-2 används.

GEA-1-kryptering: mycket mer osäker än den borde

Därför, i en tid då de flesta webbplatser och tjänster inte använde TLS eller HTTPS, var den enda säkerhetsmekanismen som var tillgänglig för användare på 2000-talet den säkerhet som användes av mobila nätverk. På papper kan GEA-1-kryptering generera 2 64 olika förutsättningar, men på grund av ett antal omständigheter i praktiken var det bara möjligt 2 40 olika stater. Detta motsvarar 0,000006 % antalet stater som erbjuds av standarden, eller 16,7 miljoner gånger mindre.

Denna lilla förändring tillåter spionattacker på GEA-1 säkra dataanslutningar, eftersom du bara behöver fånga 65 bitar av källan du redan känner till i vanlig text. Av en slump inkluderar designen av GPRS många pakethuvuden och andra element som är förutsägbara, de är verkligen lätta att få 65-bitars nyckelström och känna till den krypterade motsvarigheten för att få nyckeln senare.

GEA-2 är säkrare och du måste tänka på GEA-3

Detta är dock fortfarande inte det värsta. När forskarna hittade detta försökte forskarna ta reda på om detta designfel var oavsiktligt. För att göra detta försökte de generera slumpmässiga krypteringsparametrar för att se om det kunde ha hänt av misstag. Efter 1 miljon försök misslyckades de med att återskapa situationen, vilket antydde att formgivarna antingen hade mycket otur eller så var GEA-1 designad för att innehålla sårbarhet från grunden … Det senare kan bero på att standarden är designad för användning i områden med låg bearbetningsprestanda, eftersom en säkrare algoritm kan orsaka autentiseringsproblem.

Lyckligtvis använder de flesta av de anslutningar som görs idag inte GEA-1 eller GEA-2 även om det även under 2018 släpptes många kompatibla mobiltelefoner, som iPhone XR eller Galaxy S9. Sedan 2013 ETSI förbjuder implementering av GEA-1 på mobilnät, även om GEA-2 och GEA-0 är obligatoriska. Forskare rekommenderar också att arbeta GEA-3 ska lanseras förhindra.

Relaterade artiklar

Back to top button