研究员发现5G网络安全漏洞：可实时嗅探流量、拒绝服务、网络降级

新加坡研究团队对5G网络进行安全研究，推出了首个无需伪造基站的5G通信流量实时嗅探框架，并展示了一系列基于该框架的攻击手法，如设备指纹识别、拒绝服务、网络降级等。

安全内参8月20日消息，安全研究人员发布了一款开源工具，用于发现5G移动网络中的漏洞。他们声称该工具能够进行上下行流量嗅探，并实现一种新型连接降级攻击，此外还具备“其他严重攻击手法”，但这些尚未公开。

在本周举行的第34届USENIX安全大会上，新加坡科技设计大学的研究团队介绍了他们的研究。他们解释道：“Sni5Gect是一个能够实时嗅探5G通信中预认证消息的框架，并可在下行通信中注入针对性攻击载荷，目标直指用户设备（UE，即手机）。”

可实时嗅探流量、

拒绝服务、网络降级

该框架的设计原理是利用设备接入5G网络后、仍处于握手与认证阶段的时间差。研究团队指出，这种情况可能出现在进入或离开电梯、下飞机后关闭飞行模式，甚至穿过隧道或停车场时。Sni5Gect正是利用了基站与目标手机之间未加密的消息进行攻击。

图：攻击原理示意

研究人员写道：“在建立安全上下文之前（即预认证状态），5G基站（gNB）与用户设备之间交换的消息未加密。攻击者无需掌握用户设备的凭证，就能嗅探上下行流量，甚至在整个连接过程中注入不具备完整性保护的消息。”

这一点构成了漏洞，而该框架正是被设计来加以利用。团队测试显示，它能够在商用软件无线电与目标手机20米范围内，以超过80%的准确率嗅探上下行流量；数据包注入的成功率则在70%至90%之间。其中包括演示一种新型降级攻击：攻击者借助Sni5Gect可将连接从5G强制降级至4G，从而削弱安全性，并为进一步的监控和攻击创造条件。

由于Sni5Gect能够实时运行，并能根据协议状态注入攻击载荷（包括多阶段攻击），其开发者表示，该框架适用于指纹识别、拒绝服务攻击以及降级攻击等场景。

首个无需伪造基站的

5G通信流量实时嗅探框架

研究团队在论文引言中写道：“据我们所知，Sni5Gect是首个无需伪造5G基站，即可为研究人员提供空中嗅探与有状态注入能力的框架。”

考虑到该工具可能带来的安全影响，研究团队在发布成果前，已与负责5G标准的GSM协会（GSMA）进行了沟通。GSMA确认了团队发现的新型降级攻击。该攻击依赖于工具在连接不同阶段动态注入修改后的消息。GSMA随后在其通用漏洞披露计划下，将该漏洞编号为CVD-2024-0096。

然而，研究团队并未公开论文中提到的所有功能。他们对“利用该框架的其他严重攻击手法”予以保密，以避免Sni5Gect被滥用于攻击普通用户的智能手机。据称，这些功能仅会在申请并确认合法研究目的后，向“可信机构，如高校和科研机构”提供。

目前，Sni5Gect框架及论文中讨论的漏洞利用方式，已在GitHub上完整发布，并遵循AGPL 3.0协议。研究团队同时强调，该框架“仅供研究与教育用途”，在真实网络环境中使用“可能违反当地法律和法规”。

参考资料：theregister.com