在5G商業(yè)化的大潮中，安全問題尤須重視。12月14日，360 UnicornTeam負(fù)責(zé)人黃琳在ICICS2019（國際信息與通信安全會議）上表示，當(dāng)前移動通信安全研究依然是個“冷門”，但該領(lǐng)域的安全問題卻不容忽視。在演講中，她總結(jié)了移動通信的“五大安全難題”，呼吁行業(yè)重視。

黃琳所說的移動通信“五大安全難題”包括多代協(xié)議兼容帶來的短板問題；協(xié)議擴(kuò)展帶來的新的攻擊面；新功能帶來的新的安全風(fēng)險；為支持移動性漫游能力給安全方案設(shè)計(jì)大大增加難度。此外，還有政治因素對安全方案帶來的影響，比如移動通信必須支持國際漫游和合法監(jiān)聽等。

“現(xiàn)在5G出來了，但它也需要兼容4G、3G，甚至2G，在向多代通訊協(xié)議兼容的過程中，最弱的2G系統(tǒng)成為短板”，黃琳表示，雖然中國電信稱5G業(yè)務(wù)將不再兼容CDMA，但淘汰老舊系統(tǒng)仍有很長的路要走。

黃琳還在演講中揭示了包括移動通信在內(nèi)的無線安全的常見問題?！坝捎跓o線通道的開放性，它容易遭受DoS類攻擊”，黃琳指出。此外，“被跟蹤”也是無線系統(tǒng)中普遍存在的一種風(fēng)險，例如 IMSI跟蹤，WiFi MAC跟蹤和藍(lán)牙MAC跟蹤。

就在今年7月，有媒體曝出，根據(jù)波士頓大學(xué)的最新研究，藍(lán)牙通信協(xié)議中的安全漏洞有可能允許惡意行為者跟蹤和識別來自Apple和微軟的設(shè)備，包括Mac，iPhone，iPad和Apple Watch在內(nèi)的Apple設(shè)備受到影響，微軟平板電腦和筆記本電腦也受到影響。其他一些穿戴式藍(lán)牙設(shè)備，如無線耳機(jī)、手環(huán)，更容易被追蹤。

值得注意的是，黃琳還在演講中分享了一組數(shù)據(jù)，數(shù)據(jù)顯示，雖然近年來有關(guān)移動安全的主要研究論文數(shù)量呈逐年增長態(tài)勢，但在安全研究領(lǐng)域，移動通信安全仍然是一個比較小眾的話題。

統(tǒng)計(jì)發(fā)現(xiàn)，在前四大安全會議（S＆P，Usenix Security，CCS，NDSS）上，有關(guān)移動安全的議題比例都相當(dāng)?shù)?，?016年至2019年中，僅2019年超過2%。全球移動通訊系統(tǒng)協(xié)會（GSMA）自2017年啟動CVD計(jì)劃以來，在三年內(nèi)也只收集了29項(xiàng)CVD漏洞數(shù)據(jù)。

360UnicornTeam曾于2017年2月發(fā)現(xiàn)全球首個4G網(wǎng)絡(luò)協(xié)議高危漏洞。也是因?yàn)檫@一發(fā)現(xiàn)，360成為自GSMA安全研究名人堂設(shè)立以來首家上榜公司。

該漏洞影響較大，360UnicornTeam研究發(fā)現(xiàn)，所有的4G終端（手機(jī)、智能設(shè)備、智能汽車）都會被該漏洞影響，造成攻擊者可劫持任意終端的4G網(wǎng)絡(luò)，仿冒受害者手機(jī)身份撥打電話或接聽受害人電話，以從事電信詐騙，或監(jiān)聽受害者手機(jī)短信，繞過各類網(wǎng)絡(luò)平臺的短信驗(yàn)證碼身份認(rèn)證機(jī)制，仿冒受害者登陸相應(yīng)網(wǎng)絡(luò)平臺造成信息、財產(chǎn)等損失。

360在移動通信安全領(lǐng)域一直走在行業(yè)前列，是3GPP（全球通信標(biāo)準(zhǔn)化組織）中唯一一家中國網(wǎng)絡(luò)安全公司。早在今年3月，360還率先發(fā)布了《5G網(wǎng)絡(luò)安全研究報告》。

在演講最后，黃琳表示，希望借學(xué)術(shù)會議的機(jī)會，把工業(yè)界在移動通信安全上面臨的難題傳遞給學(xué)術(shù)界。她提出了值得挖掘的三大研究方向：第一，5G在面向垂直行業(yè)的場景中，可以部署專網(wǎng)，在專網(wǎng)上安全方案可以有較大的發(fā)揮空間; 第二，在一些關(guān)鍵基礎(chǔ)設(shè)施的應(yīng)用場景中，鏈路中斷這樣的DoS類攻擊影響巨大，如何增強(qiáng)鏈路的抗干擾抗DoS能力，同時不過度增加系統(tǒng)成本和開銷; 第三，面對仍將存在多年的老舊系統(tǒng)如GSM，如何設(shè)計(jì)防御方案。

“對于這三大問題，希望學(xué)術(shù)界與工業(yè)界能攜手合作，尋求解決之道”，黃琳呼吁。

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。