science >> Wetenschap >  >> Elektronica

Nationale noodwaarschuwingen die mogelijk kwetsbaar zijn voor aanvallen

Krediet:FEMA

Op 3 oktober, 2018, mobiele telefoons in de Verenigde Staten hebben een sms ontvangen met het label 'Presidential Alert'. Het bericht luidde:"DIT IS EEN TEST van het National Wireless Emergency Alert System. Er is geen actie nodig."

Het was de eerste proef met een nieuw nationaal waarschuwingssysteem, ontwikkeld door verschillende Amerikaanse overheidsinstanties als een manier om zoveel mogelijk mensen in de Verenigde Staten te waarschuwen als er een ramp dreigt.

Nutsvoorzieningen, een nieuwe studie door onderzoekers van de Universiteit van Colorado Boulder roept een rode vlag op rond deze waarschuwingen, namelijk, dat dergelijke door de president van de Verenigde Staten geautoriseerde noodwaarschuwingen, theoretisch, vervalst zijn.

Het team, inclusief faculteit van CU Engineering's Department of Computer Science (CS), Afdeling Elektriciteit, Computer- en energietechniek (ECEE) en de technologie, Cybersecurity and Policy (TCP)-programma ontdekte een achterdeur waardoor hackers die waarschuwingen kunnen nabootsen, valse berichten uitzenden naar mensen in een afgesloten ruimte, zoals een sportarena of een dicht stadsblok.

De onderzoekers, die hun resultaten al hebben gerapporteerd aan Amerikaanse overheidsfunctionarissen, zeggen dat het doel van hun onderzoek is om samen te werken met de relevante autoriteiten om een ​​dergelijke aanval in de toekomst te voorkomen.

"We denken dat dit iets is waar het publiek zich bewust van moet zijn om celdragers en normalisatie-instanties aan te moedigen dit probleem op te lossen, " zei Eric Wustrow, een co-auteur van de studie en een assistent-professor in ECEE. "Ondertussen, mensen moeten waarschijnlijk nog steeds vertrouwen op de noodwaarschuwingen die ze op hun telefoon zien."

De onderzoekers rapporteerden hun resultaten op de 2019 International Conference on Mobile Systems, Applicaties en diensten (MobiSys) in Seoul, Zuid-Korea, waar hun studie de prijs voor 'beste paper' won.

Wustrow zei dat hij en collega's Sangtae Ha en Dirk Grunwald besloten om het project voort te zetten, gedeeltelijk, vanwege een waargebeurde gebeurtenis.

In januari 2018, maanden voordat de eerste presidentiële waarschuwingstest uitging, miljoenen Hawaiianen ontvingen een vergelijkbaar, maar schijnbaar echt bericht op hun telefoons:iemand had een ballistische raketaanval op de staat gelanceerd.

Het was, natuurlijk, een fout, maar door die gebeurtenis vroeg het CU Boulder-team zich af:hoe veilig zijn dergelijke noodwaarschuwingen?

Het antwoord, tenminste voor door de president geautoriseerde waarschuwingen, hangt af van waar je kijkt.

"Het is redelijk veilig om de noodwaarschuwing van de overheid naar de zendmasten te sturen, " zei co-auteur Sangtae Ha, een assistent-professor bij de afdeling Informatica. "Maar er zijn enorme kwetsbaarheden tussen de zendmast en de gebruikers."

Ha legde uit dat, omdat de regering wil dat presidentiële waarschuwingen zoveel mogelijk mobiele telefoons bereiken, er is een brede benadering voor het uitzenden van deze waarschuwingen - het verzenden van berichten via een afzonderlijk kanaal naar elk apparaat binnen het bereik van een zendmast.

Hij en zijn collega's ontdekten dat hackers die maas in de wet konden uitbuiten door hun eigen, zwarte markt zendmasten. Eerst, het team, werken in een beveiligd laboratorium, ontwikkelde software die het formaat van een presidentiële waarschuwing zou kunnen nabootsen.

"We hoeven die boodschap alleen maar op het juiste kanaal uit te zenden, en de smartphone pakt het op en geeft het weer, "Ha zei.

En, hij zei, het team ontdekte dat dergelijke berichten konden worden verzonden met in de handel verkrijgbare draadloze zenders met een hoog slagingspercentage - of ruwweg 90 procent van de telefoons bereikten in een gebied ter grootte van CU Boulder's Folsom Field, mogelijk schadelijke waarschuwingen naar tienduizenden mensen sturen.

Het is een potentieel grote bedreiging voor de openbare veiligheid, zei Grunwald, een professor in de informatica.

"We vinden het zorgwekkend, daarom hebben we een proces voor verantwoorde openbaarmaking doorlopen met verschillende overheidsinstanties en vervoerders, " hij zei.

Het team heeft al een paar manieren bedacht om zo'n aanval af te wenden en werkt samen met partners in de industrie en de overheid om te bepalen welke mechanismen het meest effectief zijn.