ISAC Cambodia (InfoSec)
GeneralSecurity News

អ្នកស្រាវជ្រាវរកឃើញចំនុចខ្សោយសន្តិសុខថ្មីចំនួន 36 នៅក្នុង LTE protocol

អ្នកស្រាវជ្រាវជនជាតិកូរ៉េខាងត្បូងបានរកឃើញភាពងាយរងគ្រោះ ឬចំនុចខ្សោយនៅក្នុង LTE protocol ចំនួន ៥១ចំនុច ដែលក្នុងនោះមាន ៣៦គឺរកឃើញថ្មី។

ក្រុមអ្នកសិក្សាមកពីកូរ៉េខាងត្បូងបានរកឃើញនូវភាពងាយរងគ្រោះចំនួន ៣៦ថ្មីបំផុត នៅក្នុងស្តង់ដារ Long-Term Evolution (LTE) ដែលត្រូវបានប្រើប្រាស់ដោយប្រតិបត្តិករទូរគមនាគមន៍ជាច្រើនជំវិញពិភពលោក ជាមួយនឹងអ្នកប្រើប្រាស់រាប់រយលាននាក់នៅជុំវិញពិភពលោក។

ភាពងាយរងគ្រោះនេះអនុញ្ញាតឱ្យអ្នកវាយប្រហារ ធ្វើការរំខានទៅលើស្ថានីយ៍ទូរស័ព្ទចល័ត, ទប់ស្កាត់ការហៅចូលទៅកាន់ឧបករណ៍, ផ្តាច់អ្នកប្រើពីបណ្តាញទូរស័ព្ទចល័ត, ផ្ញើសារ SMS ក្លែងក្លាយ និងលួចស្តាប់ និងកែប្រែចរាចរទិន្នន័យអ្នកប្រើប្រាស់។

ពួកគេត្រូវបានរកឃើញដោយក្រុមស្រាវជ្រាវចំនួន 4 នាក់មកពីវិទ្យាស្ថានវិទ្យាសាស្ត្រនិងបច្ចេកវិទ្យាកូរ៉េខាងត្បូង (KAIST) និងបានចងក្រងឯកសារនៅក្នុងឯកសារស្រាវជ្រាវដែលពួកគេមានបំណងបង្ហាញនៅសន្និសីទ IEEE ស្តីពីសន្តិសុខនិងភាពឯកជននៅចុងខែឧសភាឆ្នាំ 2019 ។

ការរកឃើញរបស់ក្រុមអ្នកស្រាវជ្រាវមិនមានលក្ខណៈថ្មីទេ។ ក្រុមសិក្សាជាច្រើនបានកំណត់ភាពងាយរងគ្រោះស្រដៀងគ្នានេះនៅក្នុង LTE ក្នុងរយៈពេលប៉ុន្មានឆ្នាំចុងក្រោយនេះ – ខែកក្ដដា ២០១៨ ខែមិថុនា ២០១៨ ខែមីនា ២០១៨ ខែមិថុនា ២០១៧ ខែកក្កដា ២០១៦ ខែតុលា ២០១៥ (ឯកសារដែលបានសរសេរដោយក្រុមការងារ KAIST ផ្សេងទៀត) ។

ភាពងាយរងគ្រោះទាំងនេះគឺជាកម្លាំងជំរុញពីកិច្ចខិតខំប្រឹងប្រែងដើម្បីបង្កើតស្តង់ដារ 5G ថ្មី និងភាពប្រសើរឡើង ដែលជាអកុសលវាមិនមានសុវត្ថិភាពនោះទេ ដោយអ្នកស្រាវជ្រាវមួយចំនួនបានបង្ហាញពីចំនុចខ្សោយរួចទៅហើយនៅលើវាផងដែរ។

ប៉ុន្តែអ្វីដែលលេចធ្លោពីការងារពីមុន គឺចំនួននៃភាពងាយរងគ្រោះដែលក្រុម KAIST បានរកឃើញ និងវិធីដែលពួកគេបានធ្វើវា។

ក្រុមអ្នកស្រាវជ្រាវជនជាតិកូរ៉េបាននិយាយថាពួកគេបានរកឃើញភាពងាយរងគ្រោះ LTE ចំនួន 51 ដែលក្នុងនោះ 36 មានលក្ខណៈថ្មីនិង 15 ត្រូវបានកំណត់អត្តសញ្ញាណជាលើកដំបូងដោយក្រុមអ្នកស្រាវជ្រាវដទៃទៀតកាលពីមុន។

ពួកគេបានរកឃើញកំហុសមួយចំនួននេះដោយប្រើបច្ចេកទេសដែលត្រូវបានគេស្គាល់ថា fuzzing – វិធីសាស្ដ្រធ្វើតេស្តកូដដែលបញ្ចូលបរិមាណទិន្នន័យចៃដន្យដ៏ច្រើនចូលទៅក្នុងកម្មវិធីនិងវិភាគលទ្ធផលសម្រាប់ភាពមិនប្រក្រតីដែលផ្ដល់ឱ្យអ្នកបង្កើតនូវព័ត៌មានជំនួយអំពីវត្តមាន នៃកំហុសដែលអាចធ្វើបាន។

Fuzzing ត្រូវបានប្រើអស់ជាច្រើនឆ្នាំមកហើយប៉ុន្តែភាគច្រើនជាកម្មវិធីកុំព្យូទ័រនិងកុំព្យូទ័រហើយកម្រនឹងមានអ្វីផ្សេងទៀត។

យោងតាមឯកសាររបស់ KAIST ដែលត្រូវបានមើលឃើញដោយ ZDNet មុនពេលបទបង្ហាញ IEEE ក្រុមអ្នកស្រាវជ្រាវបានបង្កើតឧបករណ៍សាកល្បងពាក់កណ្តាលស្វ័យប្រវត្តិមួយដែលមានឈ្មោះថា LTEFuzz ដែលពួកគេធ្លាប់ប្រើដើម្បីភ្ជាប់ទំនាក់ទំនងដែលមានគ្រោះថ្នាក់ទៅបណ្តាញទូរស័ព្ទចល័ត ហើយបន្ទាប់មកវិភាគលើការឆ្លើយតបរបស់បណ្តាញ។

ក្រុមការងារ KAIST បាននិយាយថាខ្លួនបានជូនដំណឹងដល់ទាំង 3GPP (អង្គភាពឧស្សាហកម្មដែលស្ថិតនៅពីក្រោយស្តង់ដារ LTE) និង GSMA (អង្គភាពឧស្សាហកម្មដែលតំណាងឱ្យប្រតិបត្តិករទូរស័ព្ទ) ព្រមទាំងអ្នកផ្គត់ផ្គង់បន្ទះឈីប baseband និងអ្នកផ្គត់ផ្គង់ឧបករណ៍បណ្តាញដែលពួកគេបានធ្វើតេស្ត LTEFuzz ផងដែរ៕

ឯកសារយោង៖

https://syssec.kaist.ac.kr/pub/2019/kim_sp_2019.pdf

https://www.zdnet.com/google-amp/article/researchers-find-36-new-security-flaws-in-lte-protocol/

Show More

Phannarith

Mr. OU Phannarith is one of the well-known cybersecurity experts in Cambodia and the region. He is the founder of the first leading information security website (www.secudemy.com) in Cambodia. He has been invited to present in global conferences, forums, and seminars and he was awarded in Information Security Leadership Achievements (ISLA) in 2016 by (ISC)2 and in December 2012 as one of the top 10 Chief Information Security Officers (CISO) in ASEAN by the International Data Group (IDG). Mr. OU has been the Professor specializing in Cybersecurity.

Related Articles

Back to top button