LTE爆出新漏洞，黑客可冒充用户

德国研究人员在4G/LTE移动设备上发现了一个新的漏洞，黑客可以借此冒充手机主人。

由此带来的坏消息是，黑客可以让用户支付高额账单、借用户的身份上传非法文档，甚至拦截未加密的网络流量，这一切都因为使用LTE服务的所有设备都存在一个缺陷。而好消息是，由于入侵的复杂性，普通用户不太可能成为这种犯罪的受害者。

安全软件供应商Check Point的安全工程师玛雅·莱文说：“入侵者需要精湛的技术，并接近受害人，普通人不会受此影响。不过黑客一旦得手，就能获得丰厚利益。”

德国波鸿鲁尔大学（Ruhr-Universität Bochum）的研究人员发现了这个系统中的漏洞。这个团队的成员包括来自霍斯特哥尔茨信息技术安全研究所（Horst Görtz Institute for IT Security）的托尔斯滕·霍尔茨，还有大卫·鲁普雷希特、卡塔琳娜·科尔斯、克里斯蒂娜·波珀。他们计划在本周于圣迭戈举办的网络和分布式系统安全研讨会上展示研究成果。

以下是黑客利用漏洞的方式：当LTE手机的用户移动时，最近的手机信号基站会向他/她的设备发送信号。入侵者必须和目标受害人处于同一区域，才能欺骗信号基站，并利用技术手段伪装成原本的用户发送和接收LTE信号。

网络安全公司Trend Micro的云端研究副总裁马克·努尼科霍文表示，攻击者随后可以拨打长途电话，或使用受害人的运营商提供的服务，例如订阅电视节目包等，从而让受害人支付高额账单。黑客也可以搜集向受害人发送的未加密信息。

不过努尼科霍文说：“这种攻击的发生频率很低，我们日常行为涉及的一切——Facebook、邮件和短信，都是加密的。常规活动不太可能受到它的影响。”

研究人员表示，这种进攻最可能针对的是高资产净值的个人，或是可能拥有大量敏感信息的特殊目标。即使如此，考虑到大部分数字活动都经过加密，黑客也不太可能获得非常有用的信息。

不过漏洞可能给网络供应商和执法机关制造难题，他们很难证实特定用户是否进行过设备认定他们进行的活动。

NortonLifeLock的技术部主任达伦·寿表示：“运营商说我收到了服务请求，于是向你收费了。但用户说那不是我，是另一个坏人。”

虽然新发现不会让任何普通LTE用户感到恐慌，但它却提醒消费者、供应商和技术人员需要不断改善安全保护措施。

用户虽然控制不了这个LTE的漏洞，但可以控制其他事情。例如，确保经常更换密码、谨慎点击链接、当银行账户有可疑活动时予以冻结，这些都是阻止黑客的最好手段。

莱文说：“在接受文件方面，采取谨慎的措施很重要。”

对技术专家而言，随着黑客不断发掘到窃取珍贵数据的途径，LTE入侵的新闻进一步提高了加密的重要性。

尽管LTE入侵目前不是重大的迫切威胁，但可能会在不久之后的将来带来更大麻烦。

努尼科霍文表示：“我们眼中所见的是一系列漏洞，黑客把某个漏洞与其他漏洞结合起来，就能大做文章。如果这个漏洞与其他漏洞互为补充，未来就可能带来问题。”（财富中文网）

译者：严匡正