Gerçek 5G kablosuz ultra yüksek hızları ve gelişmiş güvenlik korumaları ile verinin dünyaya yayılması yavaş olmuştur. Mobil teknoloji çoğaldıkça (genişletilmiş hız ve bant genişliğini düşük gecikmeli bağlantılarla birleştirerek) en çok lanse edilen özelliklerinden biri dikkat çekmeye başlıyor. Ancak yükseltme, kendi potansiyel güvenlik riskleriyle birlikte gelir.
Akıllı şehir sensörlerinden tarım robotlarına ve daha fazlasına kadar 5G özellikli büyük bir cihaz popülasyonu, Wi-Fi’nin pratik veya mevcut olmadığı yerlerde internete bağlanma becerisi kazanıyor. Bireyler, fiber optik internet bağlantılarını bir ev 5G alıcısı için takas etmeyi bile seçebilirler. Ancak Çarşamba günü Las Vegas’taki Black Hat güvenlik konferansında sunulacak olan yeni araştırma, taşıyıcıların nesnelerin internetini yönetmek için kurdukları arayüzlerin, endüstriyi uzun vadede etkileyeceğinden korktukları güvenlik açıklarıyla dolu olduğu konusunda uyarıyor.
Berlin Teknik Üniversitesi araştırmacısı Altaf Shaik, mobil veri radyo frekansı standartlarındaki potansiyel güvenlik ve gizlilik konularını yıllarca inceledikten sonra, taşıyıcıların IoT verilerini geliştiriciler için erişilebilir hale getirmek için sunduğu uygulama programlama arayüzlerini (API’ler) araştırmayı merak ettiğini söyledi. Bunlar, uygulamaların gerçek zamanlı veri yolu izleme verilerini veya bir depodaki stokla ilgili bilgileri çekmek için kullanabileceği kanallardır. Bu tür API’ler web hizmetlerinde her yerde bulunur, ancak Shaik, bunların temel telekomünikasyon tekliflerinde yaygın olarak kullanılmadığına dikkat çekiyor. Shaik ve meslektaşı Shinjo Park, dünya çapındaki 10 mobil operatörün 5G IoT API’lerine baktığında hepsinde ortak, yaygın olarak bilinen API güvenlik açıkları buldu ve bazıları verilere yetkili erişim veya hatta IoT’ye doğrudan erişim elde etmek için kullanılabilir. ağdaki cihazlar.
Shaik sunumundan önce WIRED’e “Büyük bir bilgi boşluğu var, bu telekomda yeni bir saldırı türünün başlangıcı” dedi. “API’lere erişebildiğiniz bütün bir platform var, belgeler var, her şey var ve buna ‘IoT hizmet platformu’ gibi bir deniyor. Her ülkedeki her operatör, henüz satmadıysa bunları satacak ve sanal operatörler ve taşeronlar da var, bu yüzden bu tür bir platform sunan bir sürü şirket olacak.”
IoT hizmet platformlarının tasarımları 5G standardında belirtilmemiştir ve oluşturup dağıtmak her operatöre ve şirkete bağlıdır. Bu, kalitelerinde ve uygulamalarında yaygın bir çeşitlilik olduğu anlamına gelir. 5G’ye ek olarak, yükseltilmiş 4G ağları, IoT hizmet platformları ve bunları besleyen API’ler sunabilecek taşıyıcıların sayısını genişleterek bazı IoT genişletmelerini de destekleyebilir.
Araştırmacılar, analiz ettikleri 10 taşıyıcı için IoT planları satın aldı ve IoT cihaz ağları için yalnızca veri içeren özel SIM kartlar aldı. Bu şekilde platformlara ekosistemdeki diğer müşterilerle aynı erişime sahip oldular. Zayıf kimlik doğrulama veya eksik erişim kontrolleri gibi API’lerin kurulumundaki temel kusurların, SIM kart tanımlayıcılarını, SIM kart gizli anahtarlarını, hangi SIM kartı kimin satın aldığını ve fatura bilgilerini ortaya çıkarabileceğini buldular. Ve bazı durumlarda, araştırmacılar, diğer kullanıcıların verilerinin büyük akışlarına bile erişebilir ve hatta kontrol etmemeleri gereken komutları göndererek veya yeniden yürüterek IoT cihazlarını tanımlayabilir ve bunlara erişebilir.