In 4g lte zijn beveiligingsgaten gevonden die het mogelijk maken voor aanvallers om gebruikers naar malafide websites te sturen en hun browsinggedrag in kaart te brengen. Voor de aanvallen geldt een maximale afstand van 2 kilometer en een paar duizend euro aan apparatuur is vereist.

 

4G hack

Een van de aanvallen, genaamd aLTEr, behelst het onderscheppen van 4g-verkeer en het spoofen van de dns-server door die van de aanvaller, waarna het doelwit bijvoorbeeld naar een phishingwebsite gestuurd wordt. Dit is mogelijk doordat een deel van de wederzijdse authenticatie tussen netwerk en smartphone niet fatsoenlijk versleuteld is. De datapakketjes worden onderschept, het dns-adres in de request wordt aangepast naar een malafide dns, die het doelwit weer naar bijvoorbeeld een phishingwebsite stuurt.

Het in kaart brengen van de browsinggeschiedenis is mogelijk in de vorm van een passieve aanval. Een sniffer kan een verbinding afluisteren en aan de hand van de grootte van de packets en de frequentie waarmee ze verstuurd worden, bepalen welke website of domein het om gaat. Dit gebeurt volgens de onderzoekers door fingerprints te maken van de datastromen van populaire websites en die te vergelijken met de datapakketjes die naar het doelwit gaan. In testopstellingen zouden de onderzoekers bij deze methode een slagingspercentage hebben bereikt van rond de 89 procent.

Voor de aanvallen is een zogenaamde software-defined radio nodig voor de aanvaller om zich voor te doen als de netwerkoperator. Een dergelijk apparaat kost volgens Ars Technica zo'n 4000 dollar. Dit zorgt ervoor dat de aanval, die weliswaar mogelijk is, veel geld, kennis en inzet vergt. Dat op zijn beurt zorgt ervoor dat het waarschijnlijker is dat de aanval alleen op bijzondere doelwitten zou worden gebruikt, zoals politici en journalisten.

De onderzoekers, die van de Ruhr-Universiteit in Bochum en de NYU Abu Dhabi komen, hebben hun bevindingen al gemeld bij de GSM Association, die op zijn beurt netwerkproviders en de 3GPP informeerde. Die laatste is het orgaan dat verantwoordelijk is voor het opstellen van bijvoorbeeld de 5g-specificatie. De onderzoekers willen dat de beveiligingsparameter die deze aanvallen zou voorkomen, verplicht ingeschakeld wordt bij 5g. In de huidige 5g-specificatie is deze nog optioneel. In een reactie stelt de 3GPP dat het de actieve aanval waarbij de dns-server gespoofed wordt zeer serieus neemt, maar dat het op een dergelijke korte termijn verder nog niets concreets kan melden. Ook tekent het aan dat dns spoofing overal in de keten tussen gebruiker en dns-server plaats kan vinden en dat alleen e2e-beveiliging dat kan tegengaan.

Van de proof of concept hebben de onderzoekers een video gemaakt. Het volledige onderzoeksrapport is ook te downloaden.