Véritable sans fil 5G les données, avec leurs vitesses ultrarapides et leurs protections de sécurité renforcées, ont mis du temps à se déployer dans le monde entier. Alors que la technologie mobile prolifère, combinant une vitesse et une bande passante étendues avec des connexions à faible latence, l’une de ses fonctionnalités les plus vantées commence à être mise au point. Mais la mise à niveau s’accompagne de son propre ensemble d’expositions potentielles à la sécurité.
Une nouvelle population massive d’appareils compatibles 5G, des capteurs de ville intelligente aux robots agricoles et au-delà, gagnent la capacité de se connecter à Internet dans des endroits où le Wi-Fi n’est pas pratique ou disponible. Les particuliers peuvent même choisir d’échanger leur connexion Internet par fibre optique contre un récepteur 5G domestique. Une nouvelle étude qui sera présentée mercredi à la conférence sur la sécurité Black Hat à Las Vegas, cependant, avertit que les interfaces que les opérateurs ont mises en place pour gérer les données de l’Internet des objets sont criblées de vulnérabilités de sécurité dont ils craignent qu’elles n’affectent l’industrie à long terme.
Après des années d’examen des problèmes potentiels de sécurité et de confidentialité dans les normes de radiofréquence des données mobiles, Altaf Shaik, chercheur à l’Université technique de Berlin, a déclaré qu’il était curieux d’enquêter sur les interfaces de programmation d’applications (API) que les opérateurs proposent pour rendre les données IoT accessibles aux développeurs. Ce sont les conduits que les applications peuvent utiliser pour extraire, par exemple, des données de suivi de bus en temps réel ou des informations sur le stock dans un entrepôt. Ces API sont omniprésentes dans les services Web, mais Shaik souligne qu’elles n’ont pas été largement utilisées dans les offres de télécommunications de base. En examinant les API 5G IoT de 10 opérateurs de téléphonie mobile à travers le monde, Shaik et son collègue Shinjo Park ont découvert des vulnérabilités d’API communes et largement connues dans chacun d’eux, et certaines pourraient être exploitées pour obtenir un accès autorisé aux données ou même un accès direct à l’IoT. périphériques sur le réseau.
“Il y a un grand manque de connaissances, c’est le début d’un nouveau type d’attaque dans les télécommunications”, a déclaré Shaik à WIRED avant sa présentation. “Il y a toute une plate-forme où vous avez accès aux API, il y a de la documentation, tout, et ça s’appelle quelque chose comme ‘plate-forme de service IoT.’ Chaque opérateur dans chaque pays va les vendre s’ils ne le font pas déjà, et il y a aussi des opérateurs virtuels et des sous-traitants, donc il y aura une tonne d’entreprises proposant ce type de plateforme.
Les conceptions des plates-formes de services IoT ne sont pas spécifiées dans la norme 5G et il appartient à chaque opérateur et entreprise de les créer et de les déployer. Cela signifie qu’il existe une grande variation dans leur qualité et leur mise en œuvre. En plus de la 5G, les réseaux 4G mis à niveau peuvent également prendre en charge une certaine expansion de l’IoT, augmentant ainsi le nombre d’opérateurs susceptibles d’offrir des plates-formes de services IoT et les API qui les alimentent.
Les chercheurs ont acheté des plans IoT sur les 10 opérateurs qu’ils ont analysés et ont obtenu des cartes SIM spéciales de données uniquement pour leurs réseaux d’appareils IoT. De cette façon, ils avaient le même accès aux plateformes que n’importe quel autre client de l’écosystème. Ils ont découvert que des défauts de base dans la configuration des API, comme une authentification faible ou des contrôles d’accès manquants, pouvaient révéler des identifiants de carte SIM, des clés secrètes de carte SIM, l’identité de qui a acheté quelle carte SIM et leurs informations de facturation. Et dans certains cas, les chercheurs pourraient même accéder à de grands flux de données d’autres utilisateurs ou même identifier et accéder à leurs appareils IoT en envoyant ou en rejouant des commandes qu’ils n’auraient pas dû être en mesure de contrôler.
