Сегодня 03 июля 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

В стандарте радиосвязи TETRA нашли пакет уязвимостей — им пользуются военные, полиция и критическая инфраструктура

Радиосвязь настолько вошла в быт человечества, что воспринимается пользователями как нечто само собой разумеющееся. Технология отлажена десятилетиями, разработаны алгоритмы кодирования и шифрования радиосигнала. Тем более удивителен тот факт, что голландские исследователи из компании Midnight Blue обнаружили уязвимости и преднамеренный бэкдор в стандарте радиосвязи, используемом в правоохранительных органах, вооружённых силах и критически важной инфраструктуре.

 Источник изображения: Pixabay

Источник изображения: Pixabay

Эти уязвимости и бэкдор были обнаружены в европейском стандарте наземной транковой радиосвязи TETRA (Terrestrial Trunked Radio), используемом несколькими крупными поставщиками радиооборудования. Стандарт был разработан Европейским институтом телекоммуникационных стандартов (ETSI) в 1995 году, и с тех пор широко применяется более чем в 100 странах мира. В России и странах ЕС TETRA используется в служебных и технологических сетях связи железнодорожного транспорта. Этот стандарт используют более двадцати критически важных структур в США, среди которых электрогенерирующие компании, пограничная служба, нефтеперерабатывающие и химические предприятия, общественный транспорт, международные аэропорты и некоторые подразделения армии США.

Найденные уязвимости позволяют осуществлять расшифровку данных в режиме реального времени. Исследователи присвоили всему «пакету» уязвимостей общее название TETRA:BURST и уверены, что они были созданы намеренно. Всего было выявлено пять проблем разной степени критичности:

  • CVE-2022-24400— вмешательство в алгоритм аутентификации;
  • CVE-2022-24401— допускает расшифровку;
  • CVE-2022-24402— сокращает размер ключа шифрования;
  • CVE-2022-24403— деанонимизация и отслеживание пользователей;
  • CVE-2022-24404— отсутствие аутентификации с шифрованием.

Особенно опасным исследователи считают уязвимость CVE-2022-24402, который имеет отношение к TEA1, потоковому шифру, «предназначенному для коммерческого использования и сценариев ограниченного экспорта». Он сокращает исходный 80-битный размер ключа шифрования до 32 бит, что позволяет сравнительно быстро осуществить брутфорс атаку даже с помощью обычного потребительского ноутбука. Это даёт злоумышленнику возможность перехватить или внедрить сообщения в систему связи, если на линии не применяется сквозное шифрование.

 Источник изображения: Midnight Blue

Источник изображения: Midnight Blue

Четыре другие уязвимости позволяют преступнику скомпрометировать коммуникации, деанонимизировать информацию, обойти аутентификацию и поставить под угрозу конфиденциальность пользователей и целостность передаваемых данных. Это крайне неприятная ситуация, поскольку перечисленные уязвимости довольно сложно исправить в разумные сроки.

Обнаруженные проблемы в стандарте TETRA в очередной раз доказывают, что полагаться на парадигму «Безопасность через неясность» (Security by obscurity) не стоит. Как только пытливый злоумышленник обнаружит, казалось бы, незаметный и никому неизвестный способ проникновения в систему, все система может подвергнуться неоправданно большому риску.

Источники:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Microsoft опровергла слухи об отставке главы Xbox на фоне массовых увольнений в компании 5 ч.
Дуров рассказал про целенаправленную кампанию по дискредитации Telegram 5 ч.
Microsoft начала новые масштабные увольнения персонала — деньги нужны для ИИ 6 ч.
Нил Дракманн бросил сериал The Last of Us, чтобы «целиком сосредоточиться» на Intergalactic: The Heretic Prophet 7 ч.
Microsoft отменила Perfect Dark и следующую игру от создателей The Elder Scrolls Online — новые подробности массовых увольнений в Xbox 7 ч.
Perplexity запустила подписку за $200 в месяц — она предложит не меньше, чем Google и OpenAI 7 ч.
Трёх бывших топ-менеджеров Ubisoft признали виновными в психологических и сексуальных домогательствах 9 ч.
Opera получила бесшовный перевод с 40 языков, включая русский, и другие улучшения 10 ч.
«Кто-то проник в наш дом и что-то украл» — Сэм Альтман назвал отвратительным то, как Meta переманивает специалистов ИИ 11 ч.
Китай неумолимо подрывает лидерство Америки в глобальной гонке ИИ 11 ч.
Власти США воздержались от сохранения ограничений на поставки ПО для проектирования чипов в Китай 39 мин.
Apple Watch Ultra 3 получат поддержку спутниковой связи и сетей 5G 60 мин.
FTC начала углублённое расследование покупки Ampere компанией SoftBank 5 ч.
Бразилия потребовала от Nintendo изменить «драконовское» пользовательское соглашение для Switch 2 5 ч.
Новая статья: Задача на триллион 6 ч.
Honor освежила тонкий ноутбук MagicBook Art 14 процессорами Intel Core Ultra 200H и улучшенным экраном 7 ч.
Миллионы долларов на ветер — DARPA отменило проект космического рейдера на тепловом ядерном двигателе 7 ч.
Xerox приобрела Lexmark за $1,5 млрд в попытке как-то выжить на рынке печатной техники 7 ч.
Honor представила флагманский планшет MagicPad 3 с большим 13,3-дюймовым экраном и ценой от $420 7 ч.
Lorde выпустила новый альбом на прозрачном компакт-диске — плееры его не могут прочитать 8 ч.