חוקרים מהמכון הקוריאני המתקדם למדעים וטכנולוגיה (KAIST) זיהו חולשות אבטחה שלא היו ידועות קודם ברשתות סלולריות מסוג LTE, שעלולות לסכן מיליארדי משתמשים. הפרצות, שהתגלו בתשתית הליבה האחראית על אימות, חיבור והעברת נתונים, מאפשרות לתוקפים לערוך מניפולציות מרחוק על מידע פנימי ברשת.
החוקרים הציגו את ממצאיהם בכנס ה־32 של ACM על אבטחת מחשבים ותקשורת (ACM CCS 2025) בטייפה, שם העבודה שלהם זכתה בפרס המאמר המוערך. סוג הפרצה החדש, המכונה Context Integrity Violation (CIV), מתרחש כאשר הודעות לא מאומתות יכולות לשנות את מצבי הרשת, שזוהי הפרה של עקרון אבטחה בסיסי.
רוב המחקרים הקודמים התמקדו בתקיפות "downlink", בהן הרשת פוגעת במכשירים מחוברים. במחקר זה נבדקה אבטחת ה־uplink, כלומר כיצד מכשירים סלולריים עשויים לתקוף את הרשתות עצמן. החוקרים ייחסו את הבעיה לפערים בתקני 3GPP, האוסרים על עיבוד הודעות לא מאומתות אך אינם מתמודדים באופן מלא עם מצבים שבהם הודעות עוקפות את האימות לחלוטין.
על פי דיווח של TechXplore, כדי לאתר את הפרצות, הם פיתחו כלי חדש בשם CITesting, המסוגל להריץ אלפי מקרי בוחן — הרבה מעבר לכלים קודמים כמו LTEFuzz. באמצעות מערכת זו נבדקו ארבעה יישומי ליבת LTE מרכזיים, ונמצאו פרצות CIV בכל אחד מהם:
- Open5GS: 2,354 זיהויים, 29 פרצות ייחודיות
- srsRAN: 2,604 זיהויים, 22 פרצות ייחודיות
- Amarisoft: 672 זיהויים, 16 פרצות ייחודיות
- Nokia: 2,523 זיהויים, 59 פרצות ייחודיות
תרחישי התקיפה שהודגמו כללו: חסימת שירות (DoS) באמצעות פגיעה בנתוני הרשת, חשיפת מספרי זיהוי משתמשים (IMSI) בטקסט גלוי, ומעקב אחרי מיקומים. התקיפות יכולות להתבצע מרחוק דרך תחנות בסיס חוקיות, ועלולות להשפיע על כל מי שנמצא באזור הכיסוי של הרשת.
לאחר גילוי הפרצות, חברת Amarisoft פרסמה תיקונים, Open5GS שילבה את התיקונים במאגר הרשמי שלה, בעוד ש-Nokia סירבה לתקן, בטענה שהמערכת עומדת בתקנים הקיימים.
הקבוצה הדגיש כי אבטחת uplink זכתה לפחות תשומת לב לאורך ההיסטוריה, מה שהותיר את ליבות הרשת פגיעות. הצוות מתכנן להרחיב את הבדיקות לרשתות 5G ולרשתות פרטיות של 5G, שם פרצות דומות עלולות לסכן מערכות תעשייתיות, ארגוניות ותשתיות קריטיות.
הממצאים מדגישים את האתגר המתמשך בהגנה על רשתות סלולריות, שהן רכיב מרכזי בתשתית התקשורת הגלובלית, ומציינים את הצורך בעדכון תקני אבטחה כדי להתמודד עם איומים חדשים.
