acm-header
登录

ACM通信

研究突出了

技术视角:安全与隐私设计的现实困境


智能手机提醒,说明

来源:盖蒂图片社

罗马历史学家塔西佗(Tacitus,公元55年- 120年)曾经说过:“对安全的渴望阻碍着每一个伟大而高尚的事业。”

在数字时代,提供安全和隐私是一项高尚的事业,而安全和安全系统之间的纠缠也越来越多。智能设备的日益数字化已经成为我们日常生活中不可分割的一部分,提供了大量的移动服务。事实上,很多人都是他们的智能设备。因此,在重大紧急情况和灾害警报(从危及生命的天气到大流行性疾病)的情况下使用它们似乎是几乎自然的。然而,尽管智能设备提供了很多便利,但它也给我们带来了许多安全和隐私方面的威胁。

下面的论文调查了当前无线紧急警报(WEA)实施的现实世界中的攻击,它构成了不同的紧急类别,如儿童绑架案中的AMBER警报,或由美国总统发布的警报。

3理查德·道金斯由7个通信标准开发机构组成的“世代合作计划(3GPP)”标准化机构,制定并发布了在LTE网络上通过商用移动警报服务(CMAS)发送WEA消息的标准。根据作者的说法,3GPP的设计选择是为合法的紧急警报提供最好的覆盖范围,而不考虑建立网络基站的安全通道所需的工作SIM卡的可用性。然而,这种意识让每一部手机都容易受到欺骗警报。因此,所有完全符合3GPP标准的调制解调器芯片组都表现出相同的行为,即在没有身份验证的情况下收到虚假的总统警报(和其他类型的警报)。

该论文应用了工程学的艺术,并演示了以及广泛评估了一个真实的基站欺骗攻击(即,将一个流氓基站伪装成真实的)。基本上,攻击者会在受害者附近建立自己的流氓基站。

对于受害者的设备来说,恶意基站的信号强度很可能比正常基站要高,从而导致受害者的设备试图连接到恶意基站。虽然手机已经失败或只是失败连接到一个(恶意的)假基站,但由于标准化协议允许,CMAS消息仍然会被设备接收。利用位于体育场四角外的4x1Watt恶意基站,在一个体育场馆中模拟攻击,成功率为90%(50000个座位覆盖49300个)。这听起来很酷而且令人毛骨悚然。

批评者可能会质疑攻击的原创性和对手的动机。事实上,没有安全性或设计得很差的系统迟早会受到损害。此外,伪造炸弹威胁的效果可能与在体育场附近使用四个假基站的效果相似。然而,安全研究人员通常会进行严格的风险分析,权衡每一个潜在威胁及其影响和相互依赖性。例如,民族国家的对手有动机和能力去探查和破坏国家警报系统,从而制造混乱和恐慌。

从更普遍的角度来看,安全研究人员和实践者经常面临着在安全性、隐私和安全性之间进行权衡的问题,这些问题取决于各种约束,如法规、风险优先级分析或遗留系统的迁移。在设计数字系统和公共安全系统时,需要考虑从技术到法律和社会方面的跨学科问题,这表明了网络安全的多面性和重要性。

当然,我们有可能设计一套保安程度合理、覆盖范围广的警报系统。提出了多种对策:对消息进行端到端数字签名;手机上预共享的加密密钥,用于授权实体发出警报(例如,美国总统、执法部门);在移动设备成功验证网络之前,忽略所有alert-specific消息;利用基站发送的配置信息来确定指纹;或使用设备接收到的信号强度(RSS)来确定所连接的基站距离是否可行。

这些解决方案各有利弊,并且可以在进一步的假设下成功工作,例如公钥基础设施的存在,或者只有带有相应加密密钥的设备才能接收这些消息,或者它们需要设备后台运行特定的应用程序。

总之,本研究表明,设计和开发一个公共安全系统,在遗留系统高覆盖率的情况下,提供安全和/或隐私保障是非常重要的。我们已经在部署数字追踪应用程序以支持手动追踪COVID-19感染链的背景下见证了这一问题。因此,对系统规范和标准化进行彻底的威胁分析是至关重要的——因为它们的长期影响,我们今天所做的妥协可能会在明天造成致命的后果。

这个故事的寓意是,设计的安全和隐私是高尚的事业,在一个越来越依赖“智能”数字技术、安全和安全功能高度交织的世界中至关重要。

回到顶部

作者

Ahmad-Reza Sadeghi是德国Technische Universität Darmstadt的计算机科学教授,他领导着那里的系统安全实验室。

回到顶部

脚注

查看所附文件,请访问doi.acm.org/10.1145/3481042


版权归作者所有。
向所有者/作者请求(重新)发布许可

数字图书馆是由计算机协会出版的。版权所有©2021 ACM, Inc。


没有发现记录

登录为完全访问
»忘记密码? *创建ACM Web帐户
文章内容:
Baidu
map