Ultra yüksek hızları ve gelişmiş güvenlik korumalarıyla gerçek 5G kablosuz verilerinin dünyaya yayılması yavaş olmuştur. Genişletilmiş hız ve bant genişliğini düşük gecikmeli bağlantılarla birleştirerek mobil teknoloji çoğaldıkça, en çok lanse edilen özelliklerinden biri odaklanmaya başlıyor. Ancak yükseltme, kendi potansiyel güvenlik riskleriyle birlikte gelir.
Akıllı şehir sensörlerinden tarım robotlarına ve daha fazlasına kadar 5G özellikli büyük bir cihaz popülasyonu, Wi-Fi’nin pratik veya mevcut olmadığı yerlerde İnternet’e bağlanma becerisi kazanıyor. Bireyler, fiber optik İnternet bağlantılarını bir ev 5G alıcısı ile takas etmeyi bile seçebilirler. Ancak, bu hafta Las Vegas’taki Black Hat güvenlik konferansında sunulan araştırmaya göre, taşıyıcıların nesnelerin İnterneti verilerini yönetmek için kurdukları arayüzler güvenlik açıklarıyla dolu. Ve bu güvenlik açıkları endüstriyi uzun vadede yönlendirebilir.
Berlin Teknik Üniversitesi araştırmacısı Altaf Shaik, mobil veri radyo frekansı standartlarındaki potansiyel güvenlik ve gizlilik konularını yıllarca inceledikten sonra, taşıyıcıların IoT verilerini geliştiriciler için erişilebilir hale getirmek için sunduğu uygulama programlama arayüzlerini (API’ler) araştırmayı merak ettiğini söyledi. Bunlar, uygulamaların, örneğin gerçek zamanlı veri yolu izleme verilerini veya bir depodaki stokla ilgili bilgileri çekmek için kullanabileceği kanallardır. Bu tür API’ler web hizmetlerinde her yerde bulunur, ancak Shaik, temel telekomünikasyon tekliflerinde yaygın olarak kullanılmadığına dikkat çekiyor. Shaik ve meslektaşı Shinjo Park, dünya çapındaki 10 mobil operatörün 5G IoT API’lerine baktığında hepsinde yaygın ancak ciddi API güvenlik açıkları buldu ve bazılarının verilere yetkili erişim veya hatta IoT cihazlarına doğrudan erişim elde etmek için istismar edilebileceğini söyledi. ağ.
“Büyük bir bilgi boşluğu var. Bu, telekomda yeni bir saldırı türünün başlangıcıdır, ”dedi Shaik sunumundan önce WIRED’e. “API’lere erişebildiğiniz bütün bir platform var, belgeler var, her şey var ve buna ‘IoT hizmet platformu’ gibi bir deniyor. Her ülkedeki her operatör, henüz satmadıysa bunları satacak ve sanal operatörler ve taşeronlar da var, bu yüzden bu tür bir platform sunan bir sürü şirket olacak.”
IoT hizmet platformlarının tasarımları 5G standardında belirtilmemiştir ve oluşturup dağıtmak her operatöre ve şirkete bağlıdır. Bu, kalitelerinde ve uygulamalarında yaygın bir çeşitlilik olduğu anlamına gelir. 5G’ye ek olarak, yükseltilmiş 4G ağları, IoT hizmet platformları ve bunları besleyen API’ler sunabilecek taşıyıcıların sayısını genişleterek bazı IoT genişletmelerini de destekleyebilir.
Araştırmacılar, analiz ettikleri 10 taşıyıcı için IoT planları satın aldı ve IoT cihaz ağları için yalnızca veri içeren özel SIM kartlar aldı. Bu şekilde, ekosistemdeki diğer müşterilerle aynı platformlara erişime sahip oldular. Zayıf kimlik doğrulama veya eksik erişim kontrolleri gibi API’lerin kurulumundaki temel kusurların, SIM kart tanımlayıcılarını, SIM kart gizli anahtarlarını, hangi SIM kartı kimin satın aldığını ve fatura bilgilerini ortaya çıkarabileceğini buldular. Ve bazı durumlarda, araştırmacılar, diğer kullanıcıların verilerinin büyük akışlarına bile erişebilir ve hatta kontrol etmemeleri gereken komutları göndererek veya yeniden yürüterek IoT cihazlarını tanımlayabilir ve bunlara erişebilir.
Araştırmacılar, test ettikleri 10 taşıyıcı ile ifşa süreçlerinden geçti ve şu ana kadar buldukları güvenlik açıklarının çoğunun giderildiğini söyledi. Shaik, IoT hizmet platformlarındaki güvenlik korumalarının kalitesinin büyük ölçüde değiştiğini, bazılarının daha olgun göründüğünü, bazılarının ise “hâlâ aynı eski kötü güvenlik politikalarına ve ilkelerine bağlı kaldığını” belirtiyor. Grubun, sorunların ne kadar yaygın olabileceğine dair endişeler nedeniyle bu çalışmada baktıkları taşıyıcıları kamuya açıklamadığını da ekliyor. Taşıyıcıların yedisi Avrupa’da, ikisi ABD’de ve biri Asya’da.
Shaik, “Bize ait olmasalar bile diğer cihazlara erişmek için kullanılabilecek güvenlik açıkları bulduk, sadece platformda bulunarak bulduk” diyor. Ya da diğer IoT cihazlarıyla konuşabilir ve mesaj gönderebilir, bilgi alabiliriz. Bu büyük bir sorun.”
Shaik, kendisinin ve meslektaşlarının, farklı kusurları keşfettikten sonra başka hiçbir müşteriyi hacklemediğini veya uygunsuz bir şey yapmadığını vurguluyor. Ancak, taşıyıcıların hiçbirinin, kendi başına izleme ve koruma eksikliğini gösteren araştırmacıların araştırmasını tespit etmediğini belirtti.
Bulgular sadece bir ilk adım, ancak 5G’nin tam genişliği ve ölçeği ortaya çıkmaya başladıkça devasa yeni ekosistemleri güvence altına almanın zorluklarının altını çiziyor.
