Nationale nødalarmer potentielt sårbare over for angreb

Den 3. oktober 2018, mobiltelefoner i hele USA modtog en tekstbesked mærket "Presidential Alert". Meddelelsen lød:"DETTE ER EN TEST af National Wireless Emergency Alert System. Ingen handling er nødvendig."

Det var den første prøvekørsel for et nyt nationalt varslingssystem, udviklet af flere amerikanske regeringsorganer som en måde at advare så mange mennesker i hele USA som muligt, hvis en katastrofe var overhængende.

Nu, en ny undersøgelse foretaget af forskere ved University of Colorado Boulder rejser et rødt flag omkring disse advarsler – nemlig, at sådanne nødalarmer godkendt af USA's præsident kan, teoretisk set, blive forfalsket.

Holdet, herunder fakultet fra CU Engineerings Institut for Datalogi (CS), Institut for El, Computer- og energiteknik (ECEE) og teknologien, Cybersecurity and Policy (TCP)-programmet opdagede en bagdør, hvorigennem hackere kunne efterligne disse advarsler, sprængning af falske beskeder til folk i et begrænset område, såsom en sportsarena eller en tæt byblok.

Forskerne, som allerede har rapporteret deres resultater til amerikanske embedsmænd, sige, at målet med deres undersøgelse er at samarbejde med relevante myndigheder for at forhindre et sådant angreb i fremtiden.

"Vi mener, at dette er noget, offentligheden bør være opmærksom på for at tilskynde cellebærere og standardiseringsorganer til at rette op på dette problem, " sagde Eric Wustrow, en medforfatter til undersøgelsen og en adjunkt i ECEE. "I mellemtiden, folk skal nok stadig stole på de nødalarmer, de ser på deres telefoner."

Forskerne rapporterede deres resultater på den internationale konference om mobile systemer i 2019, Applikationer og tjenester (MobiSys) i Seoul, Sydkorea, hvor deres undersøgelse vandt prisen for "bedste papir".

Wustrow sagde, at han og kollegerne Sangtae Ha og Dirk Grunwald besluttede at forfølge projektet, delvis, på grund af en begivenhed i det virkelige liv.

I januar 2018, måneder før den første præsidentielle alarmtest gik ud, millioner af hawaiianere modtog en lignende, men tilsyneladende ægte, besked på deres telefoner:nogen havde lanceret et ballistisk missilangreb på staten.

Det var, selvfølgelig, en fejltagelse, men den begivenhed fik CU Boulder-teamet til at spekulere:Hvor sikre er sådanne nødalarmer?

Svaret, i det mindste for præsidentielt godkendte alarmer, afhænger af, hvor du ser.

"At sende nødalarm fra regeringen til celletårnene er rimeligt sikkert, " sagde medforfatter Sangtae Ha, en adjunkt ved Institut for Datalogi. "Men der er enorme sårbarheder mellem mobiltårnet og brugerne."

Ha forklarede, at fordi regeringen ønsker, at præsidentalarmer skal nå ud til så mange mobiltelefoner som muligt, det kræver en bred tilgang til at udsende disse advarsler – at sende beskeder gennem en særskilt kanal til hver enhed inden for rækkevidde af et mobilmaster.

Han og hans kolleger opdagede, at hackere kunne udnytte det smuthul ved at skabe deres eget, sorte markeds celletårne. Først, holdet, arbejder i et sikret laboratorium, udviklet software, der kunne efterligne formatet af en præsidentalarm.

"Vi behøver kun at udsende det budskab til den rigtige kanal, og smartphonen vil tage den op og vise den, "Ha sagde.

Og, han sagde, holdet fandt ud af, at sådanne beskeder kunne sendes ud ved hjælp af kommercielt tilgængelige trådløse sendere med en høj succesrate - eller omkring 90 procent af telefonerne i et område på størrelse med CU Boulders Folsom Field, potentielt sende ondsindede advarsler til titusindvis af mennesker.

Det er en potentielt stor trussel mod den offentlige sikkerhed, sagde Grunwald, professor i datalogi.

"Vi synes, det er bekymrende, Derfor gik vi gennem en ansvarlig offentliggørelsesproces med forskellige offentlige myndigheder og transportører, " han sagde.

Holdet har allerede fundet på et par måder at forhindre et sådant angreb på og arbejder sammen med partnere i industrien og regeringen for at afgøre, hvilke mekanismer der er mest effektive.