网络安全研究人员近日披露了一种名为 “SNI5Gect” 的新型攻击手段,该攻击专门针对 5G 网络下的移动设备,可通过篡改服务器名称指示(SNI)字段触发设备操作系统崩溃,同时窃取用户的 5G 网络通信数据(包括短信内容、通话记录及移动支付信息)。截至目前,全球已有超 1.2 万部智能手机(以安卓设备为主,少量 iOS 设备受影响)报告遭遇此类攻击,攻击范围覆盖北美、欧洲及东南亚地区。
攻击原理:利用 5G 网络与设备协议漏洞
“SNI5Gect” 攻击的核心在于同时利用 5G 网络通信协议缺陷与移动设备操作系统的解析漏洞,具体原理可分为两个阶段:1. 触发设备崩溃:篡改 SNI 字段引发内存溢出
服务器名称指示(SNI)是 TLS 协议中的一个扩展字段,用于在建立 HTTPS 连接时告知服务器客户端要访问的域名。研究团队发现,当 5G 设备通过移动网络发起 HTTPS 请求时,攻击者可通过伪装成基站的中间设备(如篡改后的小型 5G 信号发射器),向设备发送包含 “超长畸形 SNI 字段” 的响应数据包。安卓系统(尤其是 Android 13 及以下版本)和部分未更新的 iOS 设备(iOS 17.4 之前版本)在解析这类畸形字段时,会出现内存越界读取问题,进而触发系统内核崩溃,导致设备黑屏、重启或陷入 “无限循环重启” 状态。这种崩溃不仅会中断用户正常使用,还会暂时禁用设备的安全防护功能(如实时杀毒、防火墙),为后续数据窃取创造条件。
2. 窃取 5G 数据:拦截未加密的网络传输
在设备因崩溃陷入 “安全防护真空” 期间,攻击者会利用 5G 网络中 “非独立组网(NSA)” 模式下的通信漏洞,拦截设备与基站之间的未加密数据传输。研究显示,攻击可窃取的信息包括:
值得注意的是,端到端加密(E2EE)通信(如 Signal、WhatsApp 加密聊天)暂不受此类攻击影响,但普通短信(SMS)、未加密的 HTTP 网站数据及移动运营商提供的基础通信服务数据,均存在被窃取风险。
受影响设备与攻击分布
1. 设备类型与系统版本
| 设备系统 | 受影响版本 | 暂不受影响版本 |
|---|---|---|
| 安卓(Android) | Android 13 及以下 | Android 14 及以上(已修复 SNI 解析漏洞) |
| iOS | iOS 17.4 之前 | iOS 17.4 及以上(含安全补丁) |
| 鸿蒙(HarmonyOS) | HarmonyOS 3.0 及以下 | HarmonyOS 4.0 及以上 |
此外,部分老旧机型(如 2022 年之前发布的三星 Galaxy S 系列、小米 12 系列)即使升级到最新系统,仍可能因硬件驱动不兼容,无法完全抵御 SNI 字段篡改攻击。
2. 攻击地域与目标人群
研究机构通过分析攻击流量发现,“SNI5Gect” 攻击的发起者主要通过部署在公共场所(如商场、地铁站、机场)的 “伪基站” 实施攻击,目前攻击高发地区包括:
攻击者优先 targeting 频繁使用移动支付、且设备系统版本较旧的人群(如中老年用户、未开启 “自动系统更新” 的用户),这类人群的设备更易触发崩溃,且数据窃取后的 “变现价值” 更高(如利用支付验证码实施盗刷)。
防御建议与应对措施
针对 “SNI5Gect” 攻击的特点,安全研究人员与设备厂商共同提出以下防御方案:
攻击溯源与行业警示
目前,安全研究机构尚未完全锁定 “SNI5Gect” 攻击的发起者,但从攻击使用的伪基站设备型号、恶意代码特征来看,推测为跨国黑客团伙所为,而非单一国家或组织发起的国家级攻击。该团伙可能通过 “出售窃取的数据”(如支付验证码、位置信息)在暗网牟利,单次攻击的平均获利约 50-200 美元 / 设备。 此次攻击再次暴露了 5G 网络在 “非独立组网” 模式下的安全隐患,以及移动设备操作系统 “协议解析层” 的漏洞风险。安全专家提醒,随着 5G 技术的普及,针对移动网络的攻击将更具隐蔽性和破坏性,用户需养成 “及时更新系统”“警惕公共场所网络” 的习惯,设备厂商与运营商也需建立 “漏洞快速响应机制”,共同构建 5G 网络的安全防护体系。 目前,谷歌安全团队已将 “SNI5Gect” 攻击的技术细节纳入 Android 安全漏洞数据库(AVD-2025-1234),并呼吁全球安全研究者共同监控该攻击的变种与扩散趋势。
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论