多年来,运营商一直在向一种新的系统发展,这种系统允许语音通话通过数据网络传输,这种系统被称为LTE或VoLTE语音。这对于基础设施来说是有意义的,因为合并这两个网络将意味着每个人都有更多的带宽。这也是一个升级,为消费者,使高清语音通话,背景LTE数据在通话中,和功能,如视频通话的道路。但实现它比听起来更复杂,随着消费者最终从Verizon获得VoLTE服务,AT&;T、 而T-Mobile,研究人员发现了系统中意想不到的缺陷。
在上周的acmccs安全会议上,一位名叫关华图的加州大学洛杉矶分校研究人员阐述了这些问题,具体到两个主要的航空公司,他出于安全原因拒绝透露它们的名字。屠教授的研究表明,一个坏演员能用一部有根的**和一台联网的电脑造成多大的损害,把正常的流量伪装成新的VoLTE协议。利用该漏洞,Tu能够躲过数据收费,通过类似DDoS的攻击关闭目标的数据连接,或者将受害者的数据收费推到屋顶。
这些攻击完全在蜂窝网络中工作
这些漏洞暗示了通过相同通道发送语音和数据的一些潜在问题。当前的VoLTE和蜂窝标准将数据分为三个信道:传统蜂窝数据、语音呼叫的高优先级信道和协调这些呼叫的数据包的最高优先级信道,也称为“信号头”。将数据分发到这些信道通常发生在硬件级,但屠呦呦能够绕过这些保护措施,将数据包偷运到错误的通道,并为各种利用打开了大门。
屠呦呦的攻击完全是在**网络中进行的,将它们与普通的基于互联网的攻击区分开来,让它们绕过传统的运营商防火墙。大多数攻击的结果都是简单的服务丢失,因为高优先级的信号流量会挤掉**上的所有其他信息。
这些网络已经修复了其中一些漏洞,特别是数据DDoS攻击,其余的漏洞更多的是滋扰,而不是严重的担忧。这两个运营商都容易受到“语音拒绝服务”的攻击,即在通话中关闭大量信号承载者的通话。其中一家运营商也容易受到免费数据和超收费攻击。实际上,任何攻击都可能被网络运营商发现并关闭,但运营商必须注意并积极应对,而潜在的漏洞仍然存在。
许多问题不改变电压本身的性质是无法解决的
如果不改变沃尔特本身的性质,许多问题是无法解决的。FCC要求语音数据优先于常规数据,因为系统需要提供与传统蜂窝服务相同的通话质量。如果每次后台应用程序更新时通话中断,就不会发生这种情况。但是,由于分层系统必须在运营商之间互操作,它依赖于可以反向工程的清晰信号,为屠呦呦等研究人员的利用打开了大门。
屠呦呦仍在游说进行更广泛的改革,但这一体系分布太广,很难完全解决。运营商可以更密切地监控网络,但他们不能自己改变VoLTE协议,也不能改变普通**上运行的硬件和软件。”最终的解决方案需要运营商、标准、移动操作系统和芯片组供应商共同努力这不可能在短时间内完成。”
...恶意软件在每次系统重新启动时运行。之后,它会通知您发现了安全问题,需要更新,但在更新之前,必须输入管理员密码。 ...
... 但情况变得更糟了。安全研究人员特洛伊·亨特(Troy Hunt)曾多次试图联系CloudPets,以强调黑客攻击,以及玩具本身缺乏安全性(三个字符、未加密的密码;测试、暂存和生产数据以及网站都存储...
...入Messages应用程序的坏人打开了许多新的攻击载体。安全研究人员一直警告说,苹果流行的iMessage消息功能在清除传入的用户数据方面做得很差。 ...
Twitch有一个多样化的社区,由一系列的人组成,他们流着各种各样的东西。为了更好地保护这个社区,培养一个安全的空间,Twitch正在更新其可恨的行为和骚扰政策,以使其更清楚的什么是平台上不能容忍的。 ...
...还不知道Pixel4何时发布。[谷歌] 最新的ipados13测试版包含了新的应用程序图标选项:考虑到iPad的屏幕大小和你只能显示的应用程序数量,它的主屏幕看起来很稀疏。最新的iPadOS 13提供了新的选项。您可以在屏幕上显示20个较小的...
...年3月18日,帕洛阿尔托网络公司(Palo Alto Networks)的安全研究人员公布,Mirai经过调整和更新,在更大范围内实现了相同的目标。研究人员发现Mirai使用了11个新的导出(总数达到27个),以及一个新的默认管理员凭证列表。一些...
...研究大规模社会趋势的学者提供了极其丰富的数据来源。研究人员将Twitter的API用于多种目的,从测量tweet的洪水水位到跟踪网络仇恨言论的传播。 Twitter表示,它希望通过提高API生态系统的可访问性来鼓励更多此类应用程序。例...
...查,可能涉及谷歌和Facebook等主要平台。如果一家公司被发现滥用消费者数据,DPA可以采取民事处罚或寻求禁令救济的方式。 吉利布兰德在她的博客中概述了这项措施:“科技巨头——谷歌和Facebook——显然是我们向...
...的。” Target的赛门铁克反病毒系统显然也在同一时间发现可疑活动。《商业周刊》说,FireEye软件甚至可以自动删除恶意软件,但该功能被关闭了,尽管据报道,这对于那些想用手指按住杀戮开关的安全团队来说并不罕见。...
谷歌的三位研究人员今天发布了一个令人不安的错误,导致大部分网络陷入恐慌状态,以确保系统足够安全。该报告描述了一种狮子狗攻击(英文缩写为“Padding Oracle On degraded Legacy Encryption”),它将有效地绕过SSL保护,这也是...