5G brengt een aantal serieuze securityrisico’s met zich mee, ontdekten onderzoekers van de Technische Universiteit van Berlijn. Vooral als het gaat om IoT-toepassingen die via de netwerktechnologie kunnen worden gebruikt.

De kwetsbaarheden zitten volgens de onderzoekers vooral in de API’s waarmee operators klanten willen helpen IoT-data toegankelijk te maken voor ontwikkelaars. Deze API’s zijn in gebruik voor webdiensten, maar worden vanwege de mogelijkheden van 5G-netwerken nu mondjesmaat door operators uitgerold.

In hun onderzoek constateerden Altaf Shaik en Shinjo Park van de Duitse technische universiteit en FastIoT dat de 5G IoT API’s van tien grote telecomoperators vaak gemeenschappelijke en belangrijke kwetsbaarheden bevatten. Hackers kunnen deze kwetsbaarheden misbruiken voor ongeautoriseerde toegang van data en zelfs directe toegang tot IoT-devices die zich op het netwerk bevinden.

Vooral doordat operators vrijwel complete platforms voor 5G en IoT-toepassingen leveren, is het voor hackers makkelijk uit te vinden hoe zij deze kunnen misbruiken. De pakketten die worden meegeleverd met deze platforms bestaan uit allerhande informatie en API’s. Volgens de onderzoekers zijn deze IoT-platforms helemaal niet voor de 5G-standaard gespecificeerd en laat ook de implementatie vaak te wensen over. Vaak zijn de platforms slechts uitgebreide versies van bestaande platforms voor 4G-netwerken. Dit vergroot het aanvalsoppervlak.

Resultaten onderzoek

In hun onderzoek gebruikten de onderzoekers data-only simkaarten van de onderzochte operators voor IoT-toepassingen. Op deze manier ontdekten zij basiskwetsbaarheden in de opzet van 5G-netwerken. Bijvoorbeeld fouten op het gebied van authenticatie of het wegblijven van toegangscontroletools. Op deze manier konden de onderzochte API’s simkaart identifiers, de geheime keys van de simkaarten en de identiteit van wie de simkaart heeft gekocht weergeven. Ook werd alle betalingsinformatie op deze manier beschikbaar.

De onderzoekers konden toegang krijgen tot grote datastromen of andere gebruikersdata en identiteiten. Dit door commando’s te versturen.

De onderzoekers hebben de mobiele operators op de hoogste gesteld. De betreffende operators hebben aangekondigd de fouten te herstellen. Wel geven de onderzoekers aan dat kwaliteit van IoT-platforms voor 5G nog sterk in kwaliteit verschillen. Sommige platforms zijn in hun security meer volwassen dan andere. Die laatsten zouden nog te vaak zich houden aan de oude slechte beveiligingstechnologieën en principes. De onderzoekers verwachten zelf de komende tijd nog meer 5G-kwetsbaarheden te vinden.