Verdadero inalámbrico 5G data, con sus velocidades ultrarrápidas y protecciones de seguridad mejoradas, ha tardado en implementarse en todo el mundo. A medida que prolifera la tecnología móvil, que combina velocidad y ancho de banda ampliados con conexiones de baja latencia, una de sus características más promocionadas comienza a cobrar relevancia. Pero la actualización viene con su propia serie de posibles riesgos de seguridad.
Una nueva población masiva de dispositivos compatibles con 5G, desde sensores de ciudades inteligentes hasta robots agrícolas y más, están adquiriendo la capacidad de conectarse a Internet en lugares donde Wi-Fi no es práctico o no está disponible. Las personas pueden incluso optar por cambiar su conexión a Internet de fibra óptica por un receptor 5G doméstico. Sin embargo, una nueva investigación que se presentará el miércoles en la conferencia de seguridad Black Hat en Las Vegas advierte que las interfaces que los operadores han establecido para administrar los datos de Internet de las cosas están plagadas de vulnerabilidades de seguridad que temen acosarán a la industria a largo plazo.
Después de años de examinar posibles problemas de seguridad y privacidad en los estándares de radiofrecuencia de datos móviles, el investigador de la Universidad Técnica de Berlín, Altaf Shaik, dice que tenía curiosidad por investigar las interfaces de programación de aplicaciones (API) que ofrecen los operadores para hacer que los datos de IoT sean accesibles para los desarrolladores. Estos son los conductos que las aplicaciones pueden usar para extraer, por ejemplo, datos de seguimiento de autobuses en tiempo real o información sobre las existencias en un almacén. Dichas API son omnipresentes en los servicios web, pero Shaik señala que no se han utilizado ampliamente en las ofertas de telecomunicaciones centrales. Al observar las API de 5G IoT de 10 operadores de telefonía móvil en todo el mundo, Shaik y su colega Shinjo Park encontraron vulnerabilidades de API comunes y ampliamente conocidas en todas ellas, y algunas podrían explotarse para obtener acceso autorizado a los datos o incluso acceso directo a IoT. dispositivos en la red.
“Hay una gran brecha de conocimiento, este es el comienzo de un nuevo tipo de ataque en telecomunicaciones”, dijo Shaik a WIRED antes de su presentación. “Hay una plataforma completa donde obtienes acceso a las API, hay documentación, todo, y se llama algo así como ‘plataforma de servicio IoT’. Todos los operadores en todos los países los venderán si aún no lo han hecho, y también hay operadores virtuales y subcontratistas, por lo que habrá un montón de empresas que ofrecen este tipo de plataforma”.
Los diseños de las plataformas de servicios de IoT no se especifican en el estándar 5G y cada operador y empresa debe crearlos e implementarlos. Eso significa que hay una variación generalizada en su calidad e implementación. Además de 5G, las redes 4G mejoradas también pueden admitir cierta expansión de IoT, ampliando la cantidad de operadores que pueden ofrecer plataformas de servicios de IoT y las API que las alimentan.
Los investigadores compraron planes de IoT en los 10 operadores que analizaron y obtuvieron tarjetas SIM especiales solo de datos para sus redes de dispositivos IoT. De esta forma, tenían el mismo acceso a las plataformas que cualquier otro cliente del ecosistema. Descubrieron que las fallas básicas en la configuración de las API, como la autenticación débil o la falta de controles de acceso, podían revelar los identificadores de la tarjeta SIM, las claves secretas de la tarjeta SIM, la identidad de quién compró qué tarjeta SIM y su información de facturación. Y en algunos casos, los investigadores podrían incluso acceder a grandes flujos de datos de otros usuarios o incluso identificar y acceder a sus dispositivos IoT enviando o reproduciendo comandos que no deberían haber podido controlar.