A Szingapúri Technológiai és Tervezési Egyetem kutatócsoportja részletezte egy új 5G sebezhetőség kihasználásának módját, amelyhez nincs szükség kompromittált vagy hamis bázisállomás telepítésére. A kutatás részeként a szakemberek egy keretrendszert publikáltak Sni5Gect néven, amely alkalmas az 5G kommunikáció során zajló üzenetek lehallgatására, valamint üzenet-befecskendezés végrehajtására. A támadás az 5G New Radio (NR) rádiós hozzáférési technológiát célozza, amely az 5G hálózatok alapját képezi. A kutatók közölték. hogy a korábbi 5G támadási modellek kompromittált bázisállomás használatán alapultak, amelyhez a célpont eszköznek kapcsolódnia kellett, ez pedig korlátozta a támadás gyakorlati kivitelezhetőségét.
Ezzel szemben a Sni5Gect módszer egy olyan támadási vektort valósít meg, ahol a támadó a célpont hatósugarán belül képes lehallgatni a bázisállomás és a célzott felhasználó készüléke között zajló titkosítatlan forgalmat, majd manipulált üzeneteket juttatni a kommunikációs csatornába. A támadás a hitelesítés előtti fázist célozza, amikor a forgalom még nem részesül titkosítási védelemben. Emiatt a támadónak nincs szüksége a célpont eszköz hitelesítő adataira. A támadás kivitelezhető például, ha a célzott készülék kapcsolatot veszít, majd újracsatlakozik a hálózatra.
A kutatók rámutattak, hogy a készülékek hálózatra történő újracsatlakozása hétköznapi szituációkban is gyakran előfordul: repülő üzemmód kikapcsolásakor, alagutakban, mélygarázsokban. Amennyiben a támadó képes a kapcsolat biztonságos felépítése előtt elindítani a támadást, lehetősége nyílik titkosítatlan jelzések lehallgatására és rosszindulatú payloadok befecskendezésére. Ezáltal a támadó összeomlaszthatja az áldozat készülékének modemjét, egyedileg azonosíthatja és később nyomon követheti a célzott eszközt, valamint 4G-re kényszerítheti a kapcsolatot, amely ismerten több kihasználható sérülékenységet tartalmaz, és így további támadási vektorokat nyit meg.
A Sni5Gect támadást öt különböző okostelefonon tesztelték, köztük a OnePlus Nord CE 2, Samsung Galaxy S22, Google Pixel 7 és Huawei P40 Pro modelleken.
A vizsgálatok során a kutatók 80%-os pontosságot értek el a fel- és letöltési irányú adatforgalom lehallgatásában, valamint 70-90%-os sikerességgel tudtak üzeneteket injektálni akár 20 méteres távolságból is.
Yee Ching Tok, a SANS Internet Storm Center szakértője szerint az eddigi csúcstechnológiás megoldásokkal szemben a Sni5Gect keretrendszer nem igényel rogue gNodeB (gNB) bázisállomásokat a rádiós lehallgatás és állapotfüggő befecskendezések végrehajtásához. A kompromittált gNB hiánya jelentős tényező, mivel csökkenti a támadás előkészítésének komplexitását, miközben növeli annak észrevétlenségét.
A GSMA – amely a mobilhálózati szolgáltatók érdekeit képviselő nemzetközi iparági szervezet – hivatalosan is elismerte a kutatás megállapításait, és az incidenshez a CVD-2024-0096 azonosítót rendelte hozzá. (A mobilipart érintő biztonsági problémákhoz a GSMA nem CVE, hanem CVD azonosítókat rendel.)
A Sni5Gect keretrendszer nyílt forráskódúként szabadon elérhetővé vált.
