歐盟示警5G存在安全漏洞 - 工程師

[新聞]歐盟示警5G存在安全漏洞

[來源]https://bit.ly/2Jzsv3t

[本文]
歐盟網路安全機構ENISA發佈報告警告，2G、3G與4G網路中存在的資訊安全缺陷很可能在
5G當中重演。這對於物聯網（IoT）而言很可能是個壞消息。目前數百萬非安全裝置連接
行動網路，且這些裝置在設計層面往往未能充分考慮通訊驗證與加密等保障性機制。

歐洲委員會和歐洲各國政府正在爭先恐後地推出5G，並一直在推動電信營運商在新技術上
投入數十億歐元。但是，ENISA暗示，一旦快速佈署5G行動網路將可能帶來網路安全攻擊
的中高風險。

其危險在於，SS7及Diameter等在2G、3G與4G行動網路中使用的信令協議也有可能影響到
5G技術，這可能引發流量竊聽或欺詐等惡意活動，或導致位置資訊遭遇攔截。

由於手機在現今的數位社會中發揮著巨大作用，所以手機內採用的行動網路非常重要，
ENISA警告說，5G雖然帶來新的應用與頻寬，但卻具有相同的安全風險。如果無法解決信
令協議的安全性，可能無法實現本地/高效率的安全性，這是非常危險的。

例如：目前支持SMS訊息和電話的電信協議系統已經被證明是非常薄弱。2017年，德國營
運商O2報告中指出，駭客已經在所謂的SS7中發現一個弱點，用來襲擊手機以獲取用戶的
銀行帳戶。即使電信公司已經著手解決SS7和更先進的Diameter協議系統中的安全漏洞，
但是這種解決方案非全面性，而是採取頭痛醫頭的方式，所有不久將來發現新漏洞也不意
外。

根據ENISA針對39家歐洲電信營運商的調查，大多數公司每年只經歷少量的網路安全攻擊
。61%的公司表示，他們每年遭遇的違規數量不足10次。7%表示他們每年遭受100多次襲擊
。所以大多數電信營運商只採取最低限度的安全措施，例如：路由保護，以阻止針對SMS
訊息的駭客攻擊。ENISA建議公司必需做更多的事情，因為攻擊只會變得更加複雜。

5G網路中使用的常見網路協定（例如HTTP、TLS與REST API）中一旦發現存在安全漏洞，
相關漏洞利用與滲透測試工具將能夠很快將其擴散至行動網路範圍。

ENISA強調，雖然全球已經開始討論布局5G網路服務，但是相關標準組織卻仍然不能確定
一切可能引發的安全隱憂。美國與亞洲部份國家佈署5G服務最為積極，但ENISA建議歐洲
在5G技術的佈署需要延後，以免網路攻擊造成遺憾。（722字）

--