Сегодня 01 апреля 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

В стандарте радиосвязи TETRA нашли пакет уязвимостей — им пользуются военные, полиция и критическая инфраструктура

Радиосвязь настолько вошла в быт человечества, что воспринимается пользователями как нечто само собой разумеющееся. Технология отлажена десятилетиями, разработаны алгоритмы кодирования и шифрования радиосигнала. Тем более удивителен тот факт, что голландские исследователи из компании Midnight Blue обнаружили уязвимости и преднамеренный бэкдор в стандарте радиосвязи, используемом в правоохранительных органах, вооружённых силах и критически важной инфраструктуре.

 Источник изображения: Pixabay

Источник изображения: Pixabay

Эти уязвимости и бэкдор были обнаружены в европейском стандарте наземной транковой радиосвязи TETRA (Terrestrial Trunked Radio), используемом несколькими крупными поставщиками радиооборудования. Стандарт был разработан Европейским институтом телекоммуникационных стандартов (ETSI) в 1995 году, и с тех пор широко применяется более чем в 100 странах мира. В России и странах ЕС TETRA используется в служебных и технологических сетях связи железнодорожного транспорта. Этот стандарт используют более двадцати критически важных структур в США, среди которых электрогенерирующие компании, пограничная служба, нефтеперерабатывающие и химические предприятия, общественный транспорт, международные аэропорты и некоторые подразделения армии США.

Найденные уязвимости позволяют осуществлять расшифровку данных в режиме реального времени. Исследователи присвоили всему «пакету» уязвимостей общее название TETRA:BURST и уверены, что они были созданы намеренно. Всего было выявлено пять проблем разной степени критичности:

  • CVE-2022-24400— вмешательство в алгоритм аутентификации;
  • CVE-2022-24401— допускает расшифровку;
  • CVE-2022-24402— сокращает размер ключа шифрования;
  • CVE-2022-24403— деанонимизация и отслеживание пользователей;
  • CVE-2022-24404— отсутствие аутентификации с шифрованием.

Особенно опасным исследователи считают уязвимость CVE-2022-24402, который имеет отношение к TEA1, потоковому шифру, «предназначенному для коммерческого использования и сценариев ограниченного экспорта». Он сокращает исходный 80-битный размер ключа шифрования до 32 бит, что позволяет сравнительно быстро осуществить брутфорс атаку даже с помощью обычного потребительского ноутбука. Это даёт злоумышленнику возможность перехватить или внедрить сообщения в систему связи, если на линии не применяется сквозное шифрование.

 Источник изображения: Midnight Blue

Источник изображения: Midnight Blue

Четыре другие уязвимости позволяют преступнику скомпрометировать коммуникации, деанонимизировать информацию, обойти аутентификацию и поставить под угрозу конфиденциальность пользователей и целостность передаваемых данных. Это крайне неприятная ситуация, поскольку перечисленные уязвимости довольно сложно исправить в разумные сроки.

Обнаруженные проблемы в стандарте TETRA в очередной раз доказывают, что полагаться на парадигму «Безопасность через неясность» (Security by obscurity) не стоит. Как только пытливый злоумышленник обнаружит, казалось бы, незаметный и никому неизвестный способ проникновения в систему, все система может подвергнуться неоправданно большому риску.

Источники:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Разработчики Palworld анонсировали симулятор свиданий по мотивам игры, и это не шутка — трейлер Palworld! More Than Just Pals 41 мин.
В новых Android-смартфонах нашли вирус, который угоняет аккаунты Telegram и ворует криптовалюту 2 ч.
Wizards of the Coast заблокировала мод по Baldur’s Gate 3 для Stardew Valley, но у истории «хорошая концовка» 2 ч.
Стало известно, какие iPhone не смогут обновиться до iOS 19 3 ч.
Copilot+PC на чипах Intel и AMD наконец получили новые ИИ-функции для Paint, «Фото» и не только 3 ч.
Настольная карточная игра Riftbound по League of Legends вышла из тени — подробности международного запуска 3 ч.
Завирусившийся новый генератор изображений в ChatGPT стал доступен всем пользователям 3 ч.
OpenAI привлекла $40 млрд инвестиций от «синдиката инвесторов» — деньги пойдут на создание AGI 4 ч.
OpenAI привлекла рекордные $40 млрд — капитализация достигла $300 млрд 4 ч.
«Он смотрит в прошлое»: глава Take-Two объяснил, почему ИИ никогда не создаст собственную GTA VI 4 ч.
Microsoft вновь заявила о намерении сотрудничать с OpenAI несмотря на план по замедлению экспансии ЦОД 6 мин.
XenData представила 1U-устройство Z20 на базе Windows 11 Pro для доступа к облачным хранилищам 10 мин.
Asus и Xbox намекнули на совместный выпуск портативной приставки с «новым уровнем гейминга» 11 мин.
Флагманский смартфон Honor Magic 7 стал доступен для предзаказа в России за 109 990 рублей 15 мин.
Минпромторг готовит обязательную маркировку импортной электроники — это может лишить россияне дешёвых гаджетов из-за границы 25 мин.
Первый пациент с Neuralink провёл год с имплантом в голове — побочных эффектов нет 2 ч.
Samsung назначила нового второго гендиректора — прежде он возглавлял мобильное подразделение 3 ч.
Новый глава Intel пообещал «исправить ошибки прошлого» и «добиться совершенства» 3 ч.
Космический корабль SpaceX Crew Dragon с экипажем отправился в первый полёт над полюсами Земли 4 ч.
Одноплатный компьютер Orange Pi RV получил процессор RISC-V и 8 Гбайт оперативной памяти 4 ч.