2018/07/02

Ataque aLTEr deixa comunicações LTE em risco


O pressuposto de que as ligações LTE seriam mais seguras que a utilização do WiFi quando se está fora de casa passa a ser posto em causa, devido ao ataque aLTEr que se aproveita de algumas vulnerabilidades do "4G".

O LTE tem sistemas de protecção e segurança muito superiores ao velhinho "2G", mas infelizmente também ele é agora traído por conta de algumas decisões na sua criação. O problema é que em certos níveis de comunicação o LTE não assegura a integridade dos pacotes de dados, permitindo que um atacante os possa modificar e direccionar utilizadores para sites maliciosos, como demonstrado por este ataque aLTEr.

Um dos exemplos mais simples consiste em identificar os pedidos de DNS, e injectar o IP de um servidor malicioso em vez do servidor legítimo que o utilizador pretenderia aceder. Outro, consiste em apenas espiar o tráfego que vai passando, e que mesmo nos casos em que estiver encriptado, poderá revelar padrões preciosos que permitem identificar o tipo de site ou serviços que estejam a ser utilizados.


Este caso relembra a necessidade crítica de se utilizar sempre HTTPS, até para as comunicações consideradas "banais" e sem necessidade de segurança adicional (nem que seja para dificultar a injecção de conteúdos maliciosos); e também promover a utilização do HTTP Strict Transport Security (HSTS) e DNS Security Extensions, que dão mais garantias quanto à segurança dos pedidos DNS.


De momento este tipo de ataque é parcialmente mitigado pelo facto de exigir a utilização de equipamento que custa cerca de 4000 euros e de se estar na proximidade da vítima a atacar; mas embora isso dificulte a vida aos "curiosos", não será entrave para grupos ou entidades que operam com orçamentos bastante superiores. Portanto, não será de estranhar que se comece a ver a promoção do 5G (imune a este tipo de ataque) ser reforçada no futuro... e até lá, estarem conscientes de que as comunicações 4G não serão assim tão seguras quanto se desejaria que fossem.


2 comentários:

  1. Bom dia :)

    um pequenito bug ortográfico (?), último parágrafo:

    "...não será entrava para grupos ou entidades...." seria "entrave" ?

    Bom trabalho.

    ResponderEliminar

[pub]