นักวิจัยพบช่องโหว่ใหม่ 36 รายการบนโปรโตคอล LTE

ทีมนักวิจัยจากเกาหลีใต้ได้ค้นพบช่องโหว่บนโปรโตคอล LTE ที่ใช้ในเครือข่ายมือถือถึง 51 รายการซึ่ง 36 รายการเป็นการค้นพบครั้งใหม่โดยอาศัยเทคนิค Fuzzing ซึ่งสามารถทำให้ผู้โจมตีสามารถบล็อกการโทร ตัดการเชื่อมต่อของผู้ใช้จากเครือข่าย แอบฟังหรือแทรกแซงข้อมูลทราฟฟิคได้ เป็นต้น

credit : Zdnet

เทคนิค Fuzzing คือวิธีการทดสอบโค้ดโดยการใส่อินพุตน์แบบสุ่มจำนวนมากเข้าไปเพื่อวิเคราะห์ความผิดปกติของผลลัพธ์ซึ่งนักวิจัยได้สร้างเครื่องมือของตัวเองที่ชื่อ ‘LTEFuzz’ ขึ้นมาในการทดลองครั้งนี้ อย่างไรก็ตามการค้นพบช่องโหว่บน LTE เกิดขึ้นหลายครั้งแล้วแต่ครั้งนี้ทีมนักวิจัยได้ค้นพบช่องโหว่ใหม่กว่า 36 รายการ (ดูตารางรายการได้ตามรูปด้านบน) และเชื่อว่านี่ยังไม่หมดเพราะปัจจุบันนักวิจัยได้ทดสอบเพียงแค่ Initials State ของการเชื่อมต่อ LTE ก่อนทำการแลกเปลี่ยนกุญแจเข้ารหัสเท่านั้น 

สำหรับตอนนี้นักวิจัยได้แจ้งช่องโหว่ต่อผู้เกี่ยวข้องแล้ว เช่น 3GPP (ผู้อยู่เบื้องหลังมาตรฐาน LTE) และ GSMA (ตัวแทนของผู้ให้บริการเครือข่ายมือถือ) รวมถึงยังทำงานร่วมกับผู้ผลิตฮาร์ดแวร์ที่เกี่ยวข้องในการทดสอบด้วย ผู้สนใจสามารถอ่านงานวิจัยชื่อ “Touching the Untouchables: Dynamic Security Analysis of the LTE Control Plane” โดยคาดว่าจะขึ้นพรีเซ็นต์ผลงานที่ IEEE ราวเดือนพฤษภาคมนี้

ที่มา :  https://www.zdnet.com/article/researchers-find-36-new-security-flaws-in-lte-protocol/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Facebook รับ แอบเก็บข้อมูลอีเมลผู้ใช้กว่า 1,500,000 รายโดยไม่ได้รับอนุญาต

หลังจากที่มีคนจับได้ว่า Facebook แอบถามรหัสผ่านอีเมลของผู้ใช้ใหม่ระหว่างกระบวนการยืนยันตัวตนเมื่อต้นเดือนเมษายนที่ผ่านมาจนถูกตั้งข้อสังเกตว่า Facebook พยายามเข้าถึงอีเมลของผู้ใช้โดยมิชอบเพื่อแอบเก็บข้อมูลอีเมลเหล่านั้นหรือไม่ ล่าสุด Facebook ได้ออกมายอมรับแล้วว่าเป็นความจริง

ไม่ใช่แค่หลักหมื่น!! Facebook เผลอเก็บรหัสผ่านผู้ใช้ Intagram หลายล้านคนแบบ Plaintext

ปลายเดือนมีนาคมที่ผ่านมา Facebook ได้ออกมาเปิดเผยว่า หลังจากทำ Security Review พบว่ามีรหัสผ่านของผู้ใช้หลายร้อยล้านคนถูกเก็บแบบ Plaintext ซึ่งรวมไปถึงผู้ใช้ Instagram ราวหลักหมื่นคน แม้ทาง Facebook จะดำเนินการแก้ไขแล้ว แต่เหตุการณ์กลับเลวร้ายไปกว่านั้น …