美公共警报系统曝漏洞专家:警惕预警系统上演狼来了

  • 时间:
  • 浏览:0
  • 来源:大发pk10_pk10怎么注册_大发pk10怎么注册

不久前,四川宜宾市长宁县发生6.0级地震,通过电台广播、手机短信、电视等途径发出的地震预警为公众赢得了最长达61秒的逃生时间。

无独有偶,大洋彼岸的美国有的是预报地震、海啸等的无线紧急警报系统——WEA系统,不过近期科罗拉多大学发布的一份研究报告显示,美国WEA系统将会会向成千上万的手机发送虚假警报。

“无线紧急警报”(Wireless Emergency Alerts,WEA),是由美国联邦通信委员会(FCC)、联邦应急管理署(FEMA)和无线运营商并肩推出的两种针对“紧急请况”设置的预警系统。其不能向特定地区发布警报,包括极端天气预警和安伯警报(儿童劫持警报)等。

其他你这个 全国性预警系统将会会受到黑客攻击。研究人员称,从政府向手机信号塔发送紧急警报是安全的,其他手机信号塔和用户之间的通讯发生漏洞。另一个人找到了1个多多后门,并开发了模仿警报格式的软件,使用商用无线发射器将信息发送到半径范围内的手机上,就不能用假警报骗人。

该团队表示,另一个人对Apple 苹果4 6手机手机4 X和三星Galaxy S8手机进行了测试,成功率达90%。原困你这个 虚假预警信息将会传达给成千上万的手机。

公共预警系统安全问題突出

今年5月,360 安全研究院独角兽安全团队成员曾在HACK IN THE BOX(HITB)上演讲过你这个 议题。提到另一个人在研究中发现了公共预警系统LTE协议中的PWS漏洞,即PWS预警信息传输时那末了加密或签名。你这个 漏洞造成的后果是,利用常用的软件无线电设备和伪基站,就不能伪造并发送虚假警报信息,甚至发送诈骗或广告信息。此次科罗拉多大学的研究也佐证了公共预警系统的安全问題愈发突出。

360 安全研究院独角兽安全团队负责人黄琳表示,你这个 安全问題所带来的风险在美国比较突出,但在中国风险较小。将会相关部门是知晓你这个 风险的,其他那末了采用你这个 缺乏安全的技术方案。在美国通过手机消息推送预警的服务很普及,而在中国,预警多使用喇叭广播,电视广播和APP推送。

工信部等相关部门也正在研讨更新更安全的基站广播机制。比如,不能采用非对称加密的妙招对广播信息进行签名。合法的基站具有私钥,手机侧分配所对应的公钥,不会可不里能 正确解密的广播信息不能证明是合法基站发送的。恶意的伪造警报信息无法获取合法的私钥, 其他其签名信息无法被手机解密,1个多多不能有效处置恶意的伪造报警信息。

当然,上述攻击手段不会能造成1个多多小区域内的民众恐慌,稍显简单粗暴。将会警报短信是1个多多不能从空中接口,穿透多层协议,直达手机操作系统的通道。其他更可怕是,该漏洞结合OS层面高级漏洞构成攻击链。

360 独角兽团队成员李伟光表示,将会现在移动通信网络中的预警系统非常比较复杂,2G、3G、4G有的是对应的标准要求,其他各个国家的预警标准其他我尽相同,其他调制解调器的基带代码实现比较比较复杂。将会发生两种逻辑错误原困内存破坏,最终影响到高级操作系统内存区,黑客不能通过1个多多基带的远程代码执行漏洞,在不时要用户任何交互的请况下,得到完整篇 的系统控制权。

针对公共预警系统的安全问題,360 安全专家建议,综合考虑警报消息的功能性和安全性,在保证警报消息可送达,生命安全第一位的前提下,在协议层面再加对警报信息的加密流程,而基带代码实现累积时要各基带厂商加强对警报系统功能的代码审计。

那此年黑客们的“恶作剧”

事实上,黑客们1个多多劲对你这个 操纵公共预警系统的把戏乐此不疲。

早在 2017 年 4 月,有的是神秘黑客攻陷了达拉斯市所有的飓风警报系统。2018 年 4 月,有一组白帽黑客也“小试牛刀”,另一个人轻松接管了警报系统,工具其他我个价值 35 美元的无线电。

今年 3 月 12 日夜里,德州1个多多城镇的居民1个多多劲被飓风警报惊醒,警报一会儿起一会儿消,循环往复持续了1个多多半小时,最后被强行关掉。

已经 调查发现,当地的飓风警报系统被黑客攻破后,设置了 60 次警报。而飓风警报系统被强行关掉后相关部门也束手无策,直到 3 月 17 日这套系统才终于恢复正常。

对黑客来说,攻破1个多多的系统不会能算茶余饭后的休闲游戏,公共预警系统安全性其实 太低了。

另一个人正在进入“万物均要互联、一切皆可编程”的时代。与之对应的是,多多多线程 由人写出,是人就会犯错误。全球的统计规律显示,平均每60 0行代码里有的是4-6个漏洞。未来百亿级别的智能终端,每1个多多都将会成为潜在的攻击靶点。

如保应对种种新型网络攻击?

首先,应建立基于安全大数据的体系架构,变快更全面地检测网络安全威胁,尽早发现并阻止网络犯罪。

其次,统一安全大数据,打造国家级别的安全大脑。360 1个多多劲在呼吁统一安全大数据,打造国家级的安全大脑。将会国家安全大脑是侦查雷达,另一个人首那末了处置看得见的能力。

最后,还是要靠安全专家。网络攻防本质是那此?人和人的对抗,人和人的战争。未来相当长时间里,网络安全攻防还是高水平黑客之间的紫金对决。当网络犯罪组织发起攻击时,大数据和机器学习不能辅助侦查,最后还得靠安全专家最快地封堵,最快地反击,最快地溯源。

消息来源:https://www.cnet.com/news/emergency-presidential-alerts-could-be-faked-cu-boulder-researchers-say/

https://www.hackread.com/hackers-take-over-emergency-tornado-alarms-in-texas/

https://conference.hitb.org/hitbsecconf2019ams/sessions/haxpo-this-is-a-public-service-announcement-hacking-lte-public-warning-systems/