我国科学研究精英团队以规范兼容方法取得成功处理5G个人隐私安全隐患，

科技观察 | 5G的特点之一是潜在的安全隐患

一份新的研究报告发现，运营商提供的5G平台在处理嵌入式设备数据方面存在安全漏洞。

真正的5G无线数据，凭借其超快的速度和增强的安全保护，在世界各地逐渐推广开来。移动技术的发展速度和带宽与低延迟连接相结合，其最受推崇的功能之一开始受到关注。但此次升级带来了大量潜在的安全风险。

从智能城市传感器到农业机器人等等，大量具有5G功能的设备正在获得在Wi-Fi不实用或不可用的地方连接互联网的能力，用户甚至可以选择用光纤互联网连接换取家庭5G接收器。但是，根据在拉斯维加斯举办的Black Hat security conference会议上公布的研究，运营商为管理物联网数据而设置的接口充满了安全漏洞。长此以往，这些漏洞将会影响该行业的发展。

柏林技术大学研究员阿尔塔夫·沙伊克（Altaf Shaik）多年来一直在研究移动数据射频标准中的潜在安全和隐私问题，他说他很想研究运营商提供的应用程序编程接口（API），以使开发人员能够访问物联网数据。这些是应用程序可以用来提取实时总线跟踪数据或仓库库存信息的管道。这样的API在web服务中无处不在，但Shaik指出，它们尚未在核心电信产品中广泛使用。

通过查看全球10家移动运营商的5G物联网API，Shaik和他的同事Shinjo Park发现了所有运营商中常见但严重的API漏洞，其中一些漏洞可以被利用来获得数据授权访问，甚至直接访问网络上的物联网设备。

“知识差距很大。这是电信业一种新型攻击的开始，”Shaik在演讲前告诉WIRED。“有一个完整的平台，你可以访问API，有文档，一切，它被称为‘物联网服务平台’。每个国家的每个运营商都会出售它们，如果他们还没有，还有虚拟运营商和分包商，所以会有很多公司提供这种平台。”

5G标准中并没有明确规定物联网服务平台的设计，由各运营商和公司自行创建和部署。这意味着它们的质量和实现存在广泛差异。除了5G，升级后的4G网络还可以支持一些物联网扩展，从而扩大物联网服务平台和为其提供API的运营商数量。

研究人员在他们分析的10家运营商上购买了物联网计划，并为其物联网设备网络获得了专用的纯数据SIM卡。通过这种方式，他们可以像生态系统中的任何其他客户一样访问平台。他们发现，API的设置方式存在一些基本缺陷，如身份验证薄弱或访问控制缺失，可能会泄露SIM卡标识符、SIM卡密钥、购买哪个SIM卡的身份以及他们的账单信息。在某些情况下，研究人员可以访问其他用户的大量数据流，甚至可以通过发送或重放他们本不应该控制的命令来识别和访问他们的物联网设备。

研究人员对他们测试的10家运营商进行了披露，并表示他们迄今发现的大多数漏洞都已修复。Shaik指出，物联网服务平台的安全保护质量参差不齐，一些平台看起来更成熟，而另一些平台“仍然坚持旧的、糟糕的安全政策和原则”。他补充说，由于担心这些问题可能十分普遍，该组织没有公开命名他们在这项工作中看到的运营商。其中七家航空公司位于欧洲，两家在美国，一家在亚洲。

Shaik说：“我们发现了一些漏洞，可以利用这些漏洞访问其他设备，即使它们不属于我们，只要在平台上就可以了”。“或者我们可以与其他物联网设备通话，发送信息，提取信息。这是一个大问题。”

Shaik强调，他和他的同事在发现不同的缺陷后，没有攻击任何其他客户或做任何不正当的事情。但他指出，没有一家携带者检测到研究人员的探测，这本身就表明缺乏监测和保障。

这些发现只是第一步，但它们强调了随着5G的广度和规模开始出现，新生态系统的挑战也将会伴生而至。