Как работает атака SNI5GECT на 5G-связь и чем она угрожает абонентам | Блог Касперского

Исследователи научились вмешиваться в связь 5G: что можно сделать для защиты своего смартфона?

Недостатки и уязвимости сотовых сетей регулярно применяются для атак на абонентов. Злоумышленники используют устройства с броскими названиями IMSI Catcher (Stingray) и SMS blaster, чтобы следить за перемещениями людей, а также присылать им спам и вредоносное ПО. Проще всего проводить такие атаки было в сетях 2G, сложнее — в сетях 3G и 4G, где появилась защита. Но даже в 4G-сетях нашлись недостатки реализации, делающие возможными отслеживание перемещений абонента и другие утечки информации. Вздохнем спокойно при переходе на 5G? Увы, нет.

Апгрейд наоборот

Многие практические атаки вроде того же «SMS-бластера» основаны на «даунгрейде», то есть принудительном переключении смартфона жертвы на более старые стандарты связи. В старых стандартах у атакующего больше простор для маневра — от возможности узнать уникальный идентификатор абонента (IMSI) до отправки фальшивых SMS от имени любой организации. Как правило, «даунгрейд» проводится с помощью устройства, которое заглушает сигнал настоящей базовой станции сотового оператора и транслирует что-то свое. Но это может быть обнаружено оператором и в будущем будет работать хуже, потому что в смартфонах появляется встроенная защита от подобных атак, препятствующая переключению на 2G, а иногда и на 3G.

Исследователи Сингапурского технологического университета продемонстрировали атаку SNI5GECT, которая работает в новейших 5G-сетях и не требует таких заметных действий, как глушение легитимного сигнала базовых станций. Атакующий, находясь в радиусе до 20 м от жертвы, может заставить модем целевого устройства перезагрузиться, а также насильственно переключить его в сеть 4G, где проще идентифицировать абонента и следить за его перемещениями. Как работает атака?

Перед подключением устройства к базовой станции 5G между ними происходит обмен информацией, первые этапы которого не зашифрованы. Позднее, уже установив зашифрованный сеанс связи, база и смартфон «представляются» друг другу, но «договариваются» о параметрах сеанса они в открытом, незашифрованном виде. Устройство атакующего отслеживает этот процесс и очень точно выбирает момент, чтобы прислать уместный блок информации раньше, чем это сделает легитимная базовая станция. В результате модем жертвы обрабатывает вредоносные данные. В зависимости от модема и содержимого пакета информации, это приводит либо к переключению модема в сеть 4G с отказом заново подключаться к той же 5G-базе, либо к сбою и перезагрузке модема. Второе полезно, только если нужно кратковременно оставить жертву без связи, а вот первое позволяет применять все известные атаки на 4G для слежки.

Атака продемонстрирована на смартфонах OnePlus Nord CE 2, Samsung Galaxy S22, Google Pixel 7 и Huawei P40 Pro. В этих устройствах используются совершенно разные сотовые модемы: MediaTek, Qualcomm, Samsung и Huawei, но проблема кроется именно в особенностях стандарта, а не конкретных смартфонов. Отличия в нюансах: одни модемы можно перезагружать, а другие нельзя, в одних модемах вставить вредоносный пакет удается лишь в половине атак, а в других — в 90%.

Практическая применимость SNI5GECT

В текущем виде атака вряд ли станет массовой, поскольку у нее есть два важных ограничения. Во-первых, расстояние между атакующим и жертвой должно составлять не более 20 метров даже в идеальных условиях, а в реальной городской среде — и того меньше. Во-вторых, если связь между смартфоном и базовой станцией 5G уже установлена, провести атаку нельзя — нужно дожидаться момента, когда перемещения жертвы или изменения в радиоэфире приведут к необходимости повторной регистрации смартфона на базовой станции. В принципе, это случается регулярно, но все же не каждую минуту, поэтому атакующий должен буквально ходить за жертвой по пятам.

Тем не менее в некоторых случаях эти условия окажутся выполнимы. Например, при атаке на участников определенного совещания, людей, сидящих в бизнес-зале аэропорта, и в других похожих случаях. При этом атакующему придется сочетать SNI5GECT с более старыми атаками 4G/3G/2G, чтобы добиться каких-то практических результатов, а значит — «шуметь» в радиоэфире.

Существенна роль SNI5GECT как промежуточной ступени к более сложным и опасным атакам в будущем. По мере популяризации 5G и отключения более старых поколений связи исследователи будут все активнее работать с новым радиопротоколом и применять уже сделанные находки для следующих этапов «гонки мобильных вооружений».

Защиты от атак на 5G на сегодня нет. Отключать 5G для защиты бессмысленно — при этом смартфон перейдет на сеть 4G, что и требуется гипотетическим атакующим. Остается порекомендовать три действия:

• регулярно обновлять прошивку смартфона — обычно при этом обновляется и прошивка модема для устранения ошибок и уязвимостей;
• заранее включать на смартфоне авиарежим перед конфиденциальными встречами, а в экстремальных случаях — оставлять устройство дома;
• обдумать отключение на смартфоне старых стандартов связи (2G/3G) — за и против этого решения мы обсудили в статье про «SMS-бластеры».

04.09.2025