2019年03月20日 星期三
惊现安全漏洞,5G我们还能放心用吗
进行时①

本报记者 孙玉松

    今年两会期间,5G成热点关键词。媒体在关注5G最新动态的同时,也将5G应用于新闻报道当中。新华社客户端进行了5G手机全链条直播报道,中央广播电视总台首次实现5G技术持续传输4K超高清信号……

    然而就在最近,德国柏林工业大学和瑞士苏黎世联邦理工学院的研究人员却发出了警告,用户在使用5G网络时,可能面临号码、短信泄露的风险。

    再过一段时间,5G即将大面积推广落地,存在漏洞的5G我们还能放心使用吗?带着疑问,科技日报记者采访了相关专家。

    漏洞实则是老毛病

    “这个漏洞其实在3G和4G网络上也有,只不过到了5G时代,研究人员发现这一漏洞依旧存在。”天津大学计算机学院教授王晓飞在接受科技日报记者采访时表示,这一漏洞利用的是一种安全认证保护协议,而这一协议是为保护信息通信安全而设立的。

    上述协议指的是身份验证和密钥协议(Authentication and Key Agreement,简称AKA)。

    “AKA的主要作用是防止黑客利用国际移动用户身份(International Mobile Subscriber Identity,简称IMSI)进行欺诈。”王晓飞解释道,“黑客利用国际移动用户身份,假装成信号塔进而‘欺骗’手机,让设备‘自动’连接过来,然后趁机收集用户信息。移动通信网络越先进,这种利用假身份欺骗成功的概率就越低,不过还是不能保证绝对的安全。”

    资料显示,与3G和4G时代相比,5G网络AKA已有较大改进,能解决之前3G和4G网络的IMSI信息盗采问题。但5G网络AKA对通信环境安全的设定并未达到最高安全级别,依旧存在一些潜在漏洞。

    王晓飞表示,利用那些漏洞,黑客或能开发出可拦截5G信号的捕集器。“这个捕集器和假基站很像,能偷听用户手机,还能通过漏洞拦截移动设备的流量元数据,对用户进行定位。不过,这些漏洞虽然存在,但不会像以前那样损害用户的完整身份信息。”王晓飞说。

    超强“特技”是把双刃剑

    5G大幕即将拉开,但在王晓飞看来,5G在技术和通信协议方面还存在提升的空间。“5G离大规模正式铺设还差很多,不少国家比如韩国,推出的5G还不能被称为‘真正的、全面的5G’。”他说。

    “越是复杂的系统,存在的问题就可能越多。”王晓飞分析道,以前2G、3G、4G时代更多关注的是端到端的链接,以及延迟和带宽等性能指标。但安全问题一直未被提至特别重要的位置,比如假基站捕获短信和群发短信等问题,一直都没被妥善解决。

    “5G时代,安全将变得尤为关键。5G为移动设备带来超强的带宽、超低延迟以及海量的链接,也就为自动驾驶、虚拟现实、工业物联网等技术创新打开了大门,所以需要更高级别的安全保障。”王晓飞说。

    在王晓飞看来,5G这些超强带宽、超低延迟“特技”,是把双刃剑。“我们越依靠网络,网络安全问题对我们的威胁也就越大。因为汽车、医院、工厂以及整个城市都将依赖5G网络进行指挥,容不得半点疏忽和失误。”他说。

    运营商是安全“守门员”

    一方面,公众对5G的期待颇高;另一方面,大家又担忧信息安全问题……不过,在王晓飞眼里,用户不必对漏洞太过担心。

    “5G网络在定义和规范建立过程中,安全性被作为一个关键的考虑要素和核心问题。”王晓飞说,在防范IMSI捕集器方面,5G协议也引入了用户永久标识符和用户隐藏标识符概念。更重要的是,5G在规范中引入了基于公钥基础设施的安全体系结构。

    此外,王晓飞还告诉科技日报记者,我国的5G推广工作不会像韩国那么“着急”,而且以华为为首的国内企业在5G领域拥有话语权,所以可以花更多一些时间,在测试、试点的基础上稳步推进5G。

    “安全性问题固然重要,但这更多的该是运营商要考虑的问题。”王晓飞说,网络采取什么样的方式进行认证,更多取决于运营商的策略,而不是标准化强制要求过程。“如果运营商对安全认证规范要求不高,就可能一直存在潜在漏洞,他们是安全‘守门员’。”

    王晓飞的观点也得到了通信领域专家的认同。中国移动天津分公司一位技术负责人对科技日报记者说,5G技术在正式发布前,我们还有足够的时间来“堵”上这样的安全漏洞。

京ICP备06005116