بيانات لاسلكية 5G حقيقية ، مع سرعات فائقة السرعة وحماية أمنية محسّنة، كان بطيئة في طرحها حول العالم. مع انتشار تقنية الهاتف المحمول – التي تجمع بين السرعة الموسعة والنطاق الترددي مع اتصالات بزمن انتقال منخفض – بدأت إحدى أكثر ميزاتها شهرة في الظهور. لكن الترقية تأتي مع مجموعة خاصة بها من التعرضات الأمنية المحتملة.
يكتسب عدد هائل من الأجهزة التي تدعم تقنية الجيل الخامس ، بدءًا من مستشعرات المدن الذكية إلى الروبوتات الزراعية وما بعدها ، القدرة على الاتصال بالإنترنت في الأماكن التي لا تكون فيها شبكة Wi-Fi عملية أو متوفرة. قد يختار الأفراد حتى استبدال اتصال الإنترنت بالألياف الضوئية بجهاز استقبال 5G منزلي. لكن الواجهات التي أنشأتها شركات الاتصالات لإدارة بيانات إنترنت الأشياء مليئة بالثغرات الأمنية ، وفقًا لبحث تم تقديمه هذا الأسبوع في مؤتمر بلاك هات الأمني في لاس فيجاس. ويمكن لهذه الثغرات أن تلحق الضرر بالصناعة على المدى الطويل.
بعد سنوات من فحص مشكلات الأمان والخصوصية المحتملة في معايير تردد الراديو لبيانات الهاتف المحمول ، قال الباحث التقني في جامعة برلين ألطاف شايك إنه كان مهتمًا بالتحقيق في واجهات برمجة التطبيقات (APIs) التي تقدمها شركات النقل لجعل بيانات إنترنت الأشياء في متناول المطورين. هذه هي القنوات التي يمكن للتطبيقات استخدامها لسحب ، على سبيل المثال ، بيانات تتبع الحافلات في الوقت الفعلي أو معلومات حول المخزون في المستودع. واجهات برمجة التطبيقات هذه منتشرة في كل مكان في خدمات الويب ، لكن شايك يشير إلى أنها لم تستخدم على نطاق واسع في عروض الاتصالات الأساسية. بالنظر إلى 5G IoT APIs لعشر شركات اتصالات محمولة حول العالم ، وجد Shaik وزميله Shinjo Park نقاط ضعف شائعة ولكنها خطيرة في واجهة برمجة التطبيقات في كل منهم ، ويمكن استغلال بعضها للحصول على وصول مصرح به إلى البيانات أو حتى الوصول المباشر إلى أجهزة IoT على الشبكة.
هناك فجوة معرفية كبيرة. هذا هو بداية نوع جديد من الهجوم في مجال الاتصالات ، “قال شيخ لـ WIRED قبل عرضه التقديمي. “هناك نظام أساسي كامل يمكنك من خلاله الوصول إلى واجهات برمجة التطبيقات ، وهناك وثائق وكل شيء ، ويسمى شيئًا مثل” منصة خدمة إنترنت الأشياء “. كل مشغل في كل بلد سوف يبيعهم إذا لم يكونوا كذلك بالفعل ، وهناك مشغلين افتراضيين وعقود من الباطن أيضًا ، لذلك سيكون هناك عدد كبير من الشركات التي تقدم هذا النوع من المنصات “.
لم يتم تحديد تصميمات منصات خدمة إنترنت الأشياء في معيار 5G وهي متروكة لكل ناقل وشركة لإنشاء ونشر. هذا يعني أن هناك تباينًا واسع النطاق في جودتها وتنفيذها. بالإضافة إلى 5G ، يمكن لشبكات 4G التي تمت ترقيتها دعم بعض توسعات إنترنت الأشياء ، مما يؤدي إلى توسيع عدد شركات الاتصالات التي قد تقدم منصات خدمة إنترنت الأشياء وواجهات برمجة التطبيقات التي تغذيها.
اشترى الباحثون خطط إنترنت الأشياء على 10 شركات نقل قاموا بتحليلها وحصلوا على بطاقات SIM خاصة بالبيانات فقط لشبكات أجهزة إنترنت الأشياء الخاصة بهم. بهذه الطريقة ، كان لديهم نفس الوصول إلى الأنظمة الأساسية مثل أي عميل آخر في النظام البيئي. وجدوا أن العيوب الأساسية في كيفية إعداد واجهات برمجة التطبيقات ، مثل المصادقة الضعيفة أو ضوابط الوصول المفقودة ، يمكن أن تكشف عن معرفات بطاقة SIM ، ومفاتيح سرية بطاقة SIM ، وهوية من اشترى أي بطاقة SIM ، ومعلومات الفواتير الخاصة بهم. وفي بعض الحالات ، يمكن للباحثين الوصول إلى تدفقات كبيرة من بيانات المستخدمين الآخرين أو حتى تحديد أجهزة إنترنت الأشياء الخاصة بهم والوصول إليها عن طريق إرسال أو إعادة أوامر لا ينبغي أن يكونوا قادرين على التحكم فيها.
خضع الباحثون لعمليات الكشف مع الشركات العشر التي اختبروها وقالوا إن غالبية نقاط الضعف التي اكتشفوها حتى الآن تم إصلاحها. يلاحظ شيخ أن جودة الحماية الأمنية على منصات خدمة إنترنت الأشياء متنوعة على نطاق واسع ، حيث يبدو بعضها أكثر نضجًا بينما كان البعض الآخر “متمسكًا بنفس السياسات والمبادئ الأمنية السيئة القديمة”. ويضيف أن المجموعة لا تسمي علنًا شركات النقل التي نظرت إليها في هذا العمل بسبب مخاوف بشأن مدى انتشار هذه المشكلات. توجد سبع شركات طيران في أوروبا واثنتان في الولايات المتحدة وواحدة في آسيا.
يقول شيخ: “لقد وجدنا ثغرات يمكن استغلالها للوصول إلى أجهزة أخرى على الرغم من أنها لا تنتمي إلينا ، فقط من خلال التواجد على المنصة”. أو يمكننا التحدث إلى أجهزة إنترنت الأشياء الأخرى وإرسال الرسائل واستخراج المعلومات. إنها مشكلة كبيرة “.
يؤكد شيخ أنه وزملاؤه لم يخترقوا أي عملاء آخرين أو يفعلوا أي شيء غير لائق بمجرد اكتشافهم للعيوب المختلفة. لكنه يشير إلى أنه لم يكتشف أي من شركات النقل تحقيقات الباحثين ، وهو ما يشير بحد ذاته إلى نقص في المراقبة والضمانات ، على حد قوله.
النتائج هي مجرد خطوة أولى ، لكنها تؤكد على تحديات تأمين أنظمة بيئية جديدة ضخمة مع بدء ظهور النطاق والحجم الكاملين لشبكة 5G.
