Сегодня 30 апреля 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

В стандарте радиосвязи TETRA нашли пакет уязвимостей — им пользуются военные, полиция и критическая инфраструктура

Радиосвязь настолько вошла в быт человечества, что воспринимается пользователями как нечто само собой разумеющееся. Технология отлажена десятилетиями, разработаны алгоритмы кодирования и шифрования радиосигнала. Тем более удивителен тот факт, что голландские исследователи из компании Midnight Blue обнаружили уязвимости и преднамеренный бэкдор в стандарте радиосвязи, используемом в правоохранительных органах, вооружённых силах и критически важной инфраструктуре.

 Источник изображения: Pixabay

Источник изображения: Pixabay

Эти уязвимости и бэкдор были обнаружены в европейском стандарте наземной транковой радиосвязи TETRA (Terrestrial Trunked Radio), используемом несколькими крупными поставщиками радиооборудования. Стандарт был разработан Европейским институтом телекоммуникационных стандартов (ETSI) в 1995 году, и с тех пор широко применяется более чем в 100 странах мира. В России и странах ЕС TETRA используется в служебных и технологических сетях связи железнодорожного транспорта. Этот стандарт используют более двадцати критически важных структур в США, среди которых электрогенерирующие компании, пограничная служба, нефтеперерабатывающие и химические предприятия, общественный транспорт, международные аэропорты и некоторые подразделения армии США.

Найденные уязвимости позволяют осуществлять расшифровку данных в режиме реального времени. Исследователи присвоили всему «пакету» уязвимостей общее название TETRA:BURST и уверены, что они были созданы намеренно. Всего было выявлено пять проблем разной степени критичности:

  • CVE-2022-24400— вмешательство в алгоритм аутентификации;
  • CVE-2022-24401— допускает расшифровку;
  • CVE-2022-24402— сокращает размер ключа шифрования;
  • CVE-2022-24403— деанонимизация и отслеживание пользователей;
  • CVE-2022-24404— отсутствие аутентификации с шифрованием.

Особенно опасным исследователи считают уязвимость CVE-2022-24402, который имеет отношение к TEA1, потоковому шифру, «предназначенному для коммерческого использования и сценариев ограниченного экспорта». Он сокращает исходный 80-битный размер ключа шифрования до 32 бит, что позволяет сравнительно быстро осуществить брутфорс атаку даже с помощью обычного потребительского ноутбука. Это даёт злоумышленнику возможность перехватить или внедрить сообщения в систему связи, если на линии не применяется сквозное шифрование.

 Источник изображения: Midnight Blue

Источник изображения: Midnight Blue

Четыре другие уязвимости позволяют преступнику скомпрометировать коммуникации, деанонимизировать информацию, обойти аутентификацию и поставить под угрозу конфиденциальность пользователей и целостность передаваемых данных. Это крайне неприятная ситуация, поскольку перечисленные уязвимости довольно сложно исправить в разумные сроки.

Обнаруженные проблемы в стандарте TETRA в очередной раз доказывают, что полагаться на парадигму «Безопасность через неясность» (Security by obscurity) не стоит. Как только пытливый злоумышленник обнаружит, казалось бы, незаметный и никому неизвестный способ проникновения в систему, все система может подвергнуться неоправданно большому риску.

Источники:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Reddit заблокировала учёных за тайный эксперимент с ИИ-ботами в дискуссиях 3 ч.
OpenAI откатила обновление ChatGPT из-за подхалимского поведения ИИ 3 ч.
Mozilla Firefox представила долгожданную функцию разделения профилей, как в Chrome 4 ч.
Маск объявил скорый выход Grok 3.5 — размышляющего ИИ, который будет «создавать ответы с нуля» без интернета 9 ч.
Московский суд оштрафовал Blizzard на 600 тысяч рублей за нарушение правил работы в России 10 ч.
Electronic Arts отменила эвакуационный шутер по Titanfall и устроила новую волну сокращений в Respawn 10 ч.
Meta похвасталась, что число загрузок ИИ-моделей Llama перевалило за 1,2 млрд 11 ч.
ИИ-блокнот Google NotebookLM заговорил на русском и ещё более чем 50 языках 11 ч.
Амбициозная российская стратегия Broken Arrow о противостоянии России и США получила дату выхода — в Steam открыт предзаказ 12 ч.
Meta запустила самостоятельное ИИ-приложение для конкуренции с ChatGPT и другими ИИ-ботами 13 ч.
Выручка Seagate выросла на 31 % и превзошла ожидания аналитиков 23 мин.
Ракета Firefly Alpha не смогла вывести спутник Lockheed Martin на орбиту — полезная нагрузка упала в океан 55 мин.
Прибыль Samsung в полупроводниковом секторе упала на 42 % из-за санкций и низких цен 2 ч.
TSMC приступила к строительству третьего предприятия в штате Аризона 3 ч.
Новая статья: Гид по выбору складного смартфона в 2025 году 9 ч.
Inventec вложит до $85 млн в производство серверов в Техасе 10 ч.
Европейская ракета Vega-C вывела в космос научный спутник ESA Biomass для подсчёта лесов на планете 11 ч.
SilverStone выпустила блок питания мощностью 2500 Вт, которых хватит на трио RTX 5090 или квартет RTX 5080 11 ч.
Одних лишь фабрик чипов недостаточно: на создание полноценной цепочки поставок в США у TSMC уйдёт до 10 лет 14 ч.
Вышло новое устройство на российской ОС «РОСА Мобайл» — планшет «Р-Таб» с чипом Helio G99 15 ч.