Статья Атаки на протоколы мобильной связи: 4G/5G

4G/LTE - это технология, которую проектировали двадцать лет назад. Тогда главными врагами были абоненты, которые не хотели платить за роуминг, и конкуренты, которые могли подслушать разговор гендира. Никто не думал, что через двадцать лет у любого школьника будет за 20 баксов USB-свисток, который умеет ловить и декодировать сотовый сигнал. Никто не закладывался на то, что вышки будут стоять на каждом столбе, а протоколы - течь как решето.

Сейчас ситуация такая: 4G сломан. Не в том смысле, что им нельзя пользоваться. Пользоваться можно. Но считать его безопасным - примерно как считать свою квартиру неприступной, если дверь закрыта на щеколду, а окна на первом этаже открыты настежь.

Исследования последних лет просто вынесли мозг даже тем, кто шарит. Выяснилось, что:

• Низкоуровневые процедуры управления доступом вообще не шифруются. К ним можно достучаться, просто имитировать шум.
• В ядре сети нашли дыры, которые позволяют перехватывать трафик, не подходя к тебе на пушечный выстрел.
• Аутентификация между тобой и вышкой работает через одно место, и это место - IMSI, который светится где только можно.

В 2025 году корейцы из KAIST вообще порвали шаблон: они нашли уязвимости класса Context Integrity Violation. Если по-простому - в сети можно менять контекст соединения левыми сообщениями, и никто не заметит. Отключать тебя от сети, следить за перемещениями, красть IMSI. И для этого даже не надо быть рядом с тобой.

Американцы и немцы добавили IMP4GT - атаку, где злоумышленник притворяется тобой перед сетью, а сетью - перед тобой. И весь твой трафик идет через него. Биллинг, контроль доступа, шифрование - всё летит к чертям.

Китайцы проверили трех своих операторов и нашли, что через простые конфигурационные дыры можно перехватывать СМС и звонки. Не через фейковую вышку, а просто используя дыры в протоколах IMS.

Я это к чему? К тому, что твой 4G-модем в ноутбуке, твой айфон с последней прошивкой - это не защита. Это просто клиент для сети, которая сама по себе дырявая. Операторы экономят на безопасности, вендоры экономят на железе, стандарты писаны под задачи двадцатилетней давности. А ты платишь за тариф и думаешь, что ты под защитой.

В этой статье разберем по костям, как именно ломают 4G. Физический уровень, ядро сети, протоколы аутентификации, конкретные атаки с названиями и цифрами. И самое главное - что это значит для тебя и как хотя бы минимально подстелить соломы.

---

Физический уровень - там, где нет защиты​

Ты думаешь, что сотовая связь - это магия, которая просто работает? На самом деле это сложный многоуровневый протокол, где каждый слой отвечает за свое. Верхние слои типа RRC (Radio Resource Control) и NAS (Non-Access Stratum) худо-бедно шифруются и защищены . Но чем ниже спускаешься по стеку, тем меньше там защиты. А на самом дне, на физическом уровне (PHY) и уровне доступа к среде (MAC), вообще ничего не шифруется и не защищается от подделки .

И это не баг, а фича. Так спроектировано. Потому что низкоуровневые процедуры должны работать быстро и с минимальными задержками. Шифрование жрет время и ресурсы. Поэтому разработчики стандартов 3GPP решили: "Авось прокатит". Спойлер: не прокатило.

Что такое физический уровень простыми словами

Представь, что сотовый эфир - это огромная стройплощадка, где постоянно орут десятки кранов, экскаваторов и прорабов с рациями. Физический уровень - это сами звуки, частоты, сигналы. MAC-уровень - это правила, кто когда может кричать, чтобы не создавать коллапс . И вся эта кухня работает в открытую. Любой с приемником за 20 баксов может слушать эфир и даже вставлять свои пять копеек.

Исследователи из Northeastern University в 2024 году провели системный анализ этих низкоуровневых процедур и обнаружили, что текущие сотовые системы уязвимы для нескольких новых типов атак . Причем атаки делятся на два класса: пассивные (просто слушаем) и активные (подделываем сообщения).

Пассивные атаки - слежка без касания

Ты просто идешь с ноутбуком и USRP-приемником (это такая железка для приема радиосигналов) по городу и слушаешь эфир. И вот что можно узнать, даже ничего не передавая:

1. Локализация пользователя с точностью 20 метров. Оказывается, процедуры управления лучами (beamforming) в 4G и особенно в 5G сливают информацию о том, где находится устройство. Анализируя, как устройство откликается на запросы, можно определить его положение. В экспериментах исследователи добились точности 20 метров в 96% случаев . То есть они знают, в каком доме или в каком кафе ты сидишь, просто слушая эфир.
2. Трекинг передвижения. Если цель движется, по тем же утечкам информации о лучах можно отследить маршрут с вероятностью 90% . Причем для этого не надо ставить фейковую вышку. Достаточно пассивного приемника, который записывает трафик.
3. Перехват временных идентификаторов. В LTE используются временные ID (GUTI, TMSI), чтобы не светить IMSI (постоянный идентификатор абонента) в эфире . Но через анализ寻呼 (paging) сообщений можно привязать эти временные ID к конкретному пользователю. Исследователи Aalto University и Nokia показывали, что через повторяющиеся寻呼 запросы можно вычислить, где находится телефон и какой у него IMSI .

Активные атаки - когда ты не жертва, а инструмент

Активные атаки страшнее. Тут злоумышленник не просто слушает, а передает свои сообщения, подделываясь под легитимную вышку или под само устройство.

1. Disable RF front end - вырубаем пользователя. Можно отправить специальное сообщение на физическом уровне, которое заставит RF-фронтенд (приемопередатчик) телефона отключиться. Телефон думает: "О, команда от вышки, надо отключить прием". И ты остаешься без связи .
2. Превращение чужих телефонов в глушилки. Это вообще пушка. Злоумышленник подделывает сообщения с указанием ресурсов для uplink-передачи. Он говорит чужому телефону: "Передавай данные на такой-то частоте в такой-то момент". И телефон, даже если у него нет реальных данных для отправки, начинает передавать мусор (padding), чтобы заполнить выделенные ресурсы . В результате этот телефон становится источником помех для других пользователей, потому что его передачи коллизируют с легитимным трафиком.
   В экспериментах такая атака снижала пропускную способность более чем на 95% в течение 2 секунд . Для этого достаточно подделать одно сообщение DCI (Downlink Control Information) размером 39 бит . Тридцать девять бит, Карл.
3. Отключение активного пользователя. Можно отправить сообщение, которое телефон воспримет как команду от вышки "отключись от сети". Причем отключение происходит stealthily - тихо, без уведомления пользователя. Телефон просто теряет связь, и ты думаешь, что это глюки оператора .
4. Атаки через RRC протокол. Исследователи из Технического университета Берлина и Университета Бирмингема показывали, что через уязвимости в RRC-сообщениях можно:
   
   • Заставить устройство перейти на 2G или 3G (где защита слабее) .
   • Полностью отказать в обслуживании (DDoS на уровне конкретного абонента) .
   • Ограничить доступ к определенным сервисам (например, заблокировать голосовые вызовы) .

Почему это вообще работает

Потому что стандарты проектировались в эпоху, когда ни у кого не было дешевых SDR-приемников и open-source софта. Сейчас любой школьник может собрать USRP, поставить srsLTE или OpenLTE и начать экспериментировать .

Исследователи проверили операторов в трех странах (США, Европа, Азия) с общей абонентской базой более 500 миллионов человек. Их конфигурации позволяют проводить эти атаки. То есть это не теоретические выкладки, а реальная практика.

Что в сухом остатке

Физический и MAC-уровни в 4G/5G - это Дикий Запад. Там нет шифрования, нет защиты целостности. Пассивные атаки позволяют следить за тобой с точностью до 20 метров. Активные - глушить связь, отключать от сети и превращать твой же телефон в инструмент для атаки на соседа.

И самое печальное: ты, как пользователь, ничего с этим не сделаешь. Операторы должны патчить конфигурации, вендоры - менять прошивки, а стандарты - эволюционировать. Пока же твоя единственная защита - VPN поверх всего и надежда, что никому не придет в голову тратить время на тебя лично.

---

Уязвимости в ядре сети - атакуем оттуда, откуда не ждут​

В первой части мы разобрали, как дыряв физический уровень и что любой с SDR-приемником может глушить тебя или следить за перемещениями. Но это цветочки. Потому что там надо стоять рядом с жертвой, иметь железо, настраивать софт. Возиться.

Теперь про настоящее мясо. Про то, как можно положить сеть или угнать твои данные, даже не приближаясь к тебе на пушечный выстрел. Речь про ядро сети - Core Network. Это сердце всего LTE, где обрабатываются запросы на подключение, хранятся идентификаторы абонентов, маршрутизируется трафик. И вот там, в этом сердце, нашли такие дыры, что волосы дыбом встают.

KAIST и контекст без целостности

В конце 2025 года корейские исследователи из KAIST (Корейский передовой институт науки и технологий) под руководством профессора Ёндае Ким выступили на топовой конференции ACM CCS и забрали награду за лучшую работу . Они нашли новый класс уязвимостей, который назвали Context Integrity Violation - CIV, или "нарушение целостности контекста" .

Если по-простому: в LTE сети есть куча сообщений, которые вообще не требуют аутентификации. Они просто летят по сети, и узлы-обработчики (MME, HSS, SGW) доверяют им по умолчанию. Потому что "ну кто же будет слать левые пакеты в нашу закрытую магистраль?". Наивные.

Исследователи показали, что злоумышленник, который находится где угодно в зоне действия оператора (хоть в соседнем городе, хоть в другой стране через роуминг), может отправлять специально сформированные сообщения на эти узлы и менять их внутреннее состояние . Без всяких паролей, без аутентификации, просто потому что протоколы так спроектированы.

Что можно сделать через CIV

Список возможностей, которые открывают эти дыры, впечатляет:

1. Отказ в обслуживании (DoS) на конкретного абонента. Злоумышленник может "угнать" идентификатор жертвы в сети, зарегистрировав его от своего имени. Сеть думает, что абонент уже подключен где-то еще, и отказывает настоящему устройству в доступе. Ты ходишь с телефоном, а связи нет. И оператор ничего не может сделать, потому что по его данным ты уже онлайн.
2. Кража IMSI. IMSI - это международный идентификатор абонента, уникальный номер твоей симки. В LTE его стараются не светить в эфире, используют временные идентификаторы (GUTI). Но через CIV-атаки можно заставить сеть раскрыть IMSI в открытом виде . А дальше - слежка, подмена, перевыпуск симки через социальную инженерию (см. предыдущую статью про SIM-свопинг).
3. Трекинг местоположения. Даже если IMSI не украли, через манипуляции с контекстом можно привязать временные идентификаторы к конкретному абоненту и отслеживать, где он находится, когда перемещается между сотами . Для этого не надо стоять с приемником на каждом углу - достаточно одной точки доступа к ядру сети.

Самое страшное: все эти атаки работают удаленно. Не надо собирать фейковую вышку, не надо подходить к жертве. Достаточно иметь любой легитимный доступ в сеть оператора - например, купить симку и поставить свой сервер с open-source софтом, который будет слать специальные пакеты на MME . Или просто арендовать VPS в стране, где работает оператор.

Инструмент CITesting

Исследователи из KAIST не просто нашли дыры, они разработали первый в мире инструмент для их обнаружения - CITesting . Это фреймворк, который автоматически тестирует ядро сети на уязвимости класса CIV. Они пропустили через него несколько операторов в Корее (включая SKT, где недавно была громкая хакерская атака) и нашли кучу проблем .

Вывод: дыры есть у всех. Просто операторы не хотят их искать или не умеют.

Атаки на IMS - когда звонки и СМС не твои

Еще один кусок ядра сети - IMS (IP Multimedia Subsystem). Это та часть, которая отвечает за голосовые вызовы и СМС поверх 4G (VoLTE). Там тоже весело.

Исследователи из Национального университета оборонных технологий Китая проверили трех крупных операторов и нашли конфигурационные дыры, которые позволяют:

• Перехватывать и подделывать СМС.
• Перехватывать звонки.
• Отключать механизмы защиты данных в LTE и IMS .

Причем делается это на тех же open-source SDR-инструментах, которые доступны любому школьнику .

На DEF CON 33 в 2025 году показывали Pre-Auth RCE на 4G-роутерах - удаленное выполнение кода без аутентификации через уязвимости в протоколах . То есть злоумышленник может взять под контроль сам роутер, а через него - всю сеть, к которой он подключен.

IMP4GT - подмена на два уровня

Атака, разработанная исследователями NYU и Рурского университета (мы уже упоминали ее во введении), называется IMP4GT . Она комбинирует отсутствие защиты целостности на втором уровне (user plane) с особенностями работы IP-стека в ОС.

В результате:

• Злоумышленник может притворяться тобой перед сетью.
• И одновременно притворяться сетью перед тобой.
• Весь твой трафик идет через него. Биллинг, контроль доступа, шифрование - все летит к чертям .

Это уже не просто "подслушать", это полноценный Man-in-the-Middle на уровне ядра сети.

Почему это вообще возможно

Потому что архитектура LTE строилась вокруг идеи "закрытой сети операторов". Предполагалось, что в ядро имеют доступ только доверенные элементы, а все соединения защищены физически. Сейчас сети стали IP-ными, открытыми, используют стандартные протоколы типа Diameter, GTP, S1-AP . И все эти протоколы проектировались без оглядки на то, что по ним может ходить злоумышленник.

В 2026 году ETSI (европейский институт телекоммуникационных стандартов) все еще работает над спецификациями безопасности для 3GPP, пытаясь закрыть эти дыры. Но процесс медленный, операторы обновляют софт годами, а вендоры экономят на безопасности.

Что в сухом остатке

Ядро сети 4G - это решето. Через него можно:

• Отключать конкретных абонентов.
• Красть IMSI и следить за перемещениями.
• Перехватывать СМС и звонки.
• Ставить Man-in-the-Middle и читать трафик.
• Ломать сами роутеры и использовать их как точку входа в инфраструктуру.

И для этого не надо быть спецслужбой с миллионным бюджетом. Достаточно желания разобраться, open-source софта и доступа в интернет. Школьники из предыдущих частей уже подрастают и осваивают новые инструменты.

---

IMP4GT - когда тебя подменяют на двух уровнях​

Ты думал, что 4G более-менее безопасен, потому что там есть взаимная аутентификация? Типа вышка проверяет тебя, ты проверяешь вышку, и всё пучком? Поздравляю, тебя снова надули. Причем надули на двух уровнях сразу.

IMP4GT (IMPersonation Attacks in 4G NeTworks) - это атака, которую придумали ребята из Рурского университета и NYU Abu Dhabi . Они взяли дыру на втором уровне (отсутствие защиты целостности пользовательских данных), скомбинировали её с поведением IP-стека операционной системы и получили возможность притворяться тобой перед сетью и сетью перед тобой .

Как это работает по живому

В LTE есть два типа трафика: контрольный (control plane) и пользовательский (user plane). Контрольный - это команды типа "подключись", "отключись", "передай данные". Он защищен integrity protection, то есть его нельзя подделать. А вот пользовательский трафик - твои сайты, мессенджеры, ютубчик - летит без защиты целостности. Его можно менять на лету, и никто не заметит.

Исследователи сделали Man-in-the-Middle ретранслятор на базе software-defined radio (SDR) . Они встали между телефоном жертвы и настоящей вышкой оператора. Радиус действия - до 2 км, примерно как у IMSI-ловушек .

Дальше начинается магия. Они используют reflection mechanism IP-стека - это когда операционная система на какие-то пакеты отвечает автоматически, например, ICMP ping или сообщения о недоступности порта. С помощью этого механизма они строят encryption and decryption oracle - то есть могут заставить телефон или сеть расшифровывать пакеты и показывать их содержимое.

Uplink impersonation - ты - это я

В этом варианте злоумышленник притворяется тобой перед сетью. Он устанавливает IP-соединение с интернетом от твоего имени. Все пакеты, которые он шлет, идут с твоим IP-адресом. Оператор думает, что это ты.

Что можно сделать:

• Зайти на сайты, которые аутентифицируются по IP (например, корпоративные порталы или платные сервисы).
• Купить платные подписки, которые тарифицируются по номеру телефона.
• Запостить что угодно от твоего имени.
• Обойти биллинг и firewalls оператора, потому что он доверяет твоей аутентификации.

Downlink impersonation - сеть - это я

Тут злоумышленник притворяется сетью перед твоим телефоном. Он устанавливает TCP/IP соединение напрямую с твоим устройством .

В нормальной ситуации оператор ставит файервол, который блокирует все входящие соединения из интернета к твоему телефону . Это защита от дурака. Но через downlink IMP4GT злоумышленник этот файервол обходит. Он может слать тебе любые пакеты, и телефон их примет, думая, что они от легитимной сети.

Дальше - раздолье для атак:

• Сканировать твой телефон на открытые порты и уязвимые сервисы.
• Пытаться эксплуатировать дыры в ОС или приложениях.
• Ставить вредоносное ПО, если найдет уязвимость.

Кого это касается

Под ударом все устройства с 4G/LTE и ранними версиями 5G. Но есть нюанс: разные ОС ведут себя по-разному.

Исследователи проверили Android и iOS:

• Для IPv4 уязвим только Android.
• Для IPv6 уязвимы обе системы.

То есть если ты на iOS и используешь IPv4 - ты в относительной безопасности от этой конкретной атаки. Но расслабляться рано, потому что IPv6 тоже используется.

5G тоже в зоне риска

Когда 5G только внедряли, все кричали про новую безопасность. А на деле:

• Non-standalone режим (когда контроль через 4G, а данные через 5G) - уязвим точно так же, потому что integrity protection не используется.
• Standalone режим - integrity protection опционально и ограничено по скорости (до 64 кбит/с). То есть дыра остаётся.

Исследователи прямо заявили: нужна обязательная full-rate integrity protection для 5G, иначе IMP4GT переедет на новые рельсы.

Последствия для всех участников

Для операторов это катастрофа. Они привыкли доверять взаимной аутентификации для биллинга, контроля доступа и даже для передачи данных правоохранителям . IMP4GT показывает, что доверять нельзя. Абонент может быть ни при чем, а трафик уходит от злоумышленника .

Для правоохранителей - кошмар. Если они запрашивают у оператора, кто сидел за таким-то IP в такое-то время, ответ может быть ложным . Преступник мог воспользоваться чужой идентичностью, а подозрение падет на невиновного.

Для пользователей - риск оказаться должным за чужие покупки или попасть под следствие за чужие действия в сети. Плюс телефон становится доступен для прямых атак из интернета, потому что firewall оператора больше не защищает.

Техническая честность: насколько это реально

Хорошая новость: провести такую атаку сложно. Нужно:

• Специализированное железо (USRP или аналоги).
• Кастомная реализация стека LTE (типа srsLTE).
• Находиться в радиусе 2 км от жертвы.
• Контролировать эфир, чтобы не создавать помех другим абонентам.

В лабораторных условиях с экранирующей камерой это работает на коммерческих сетях. В реальном мире - надо быть очень профи. Но для целей высокой ценности (дипломаты, топ-менеджеры, политики) технические ограничения не помеха.

Вывод

IMP4GT - это не просто очередная дыра. Это демонстрация того, что архитектура LTE трещит по швам. Разработчики стандартов двадцать лет назад не закладывали защиту целостности для пользовательских данных, потому что "дорого и не нужно". Сейчас это "не нужно" превратилось в возможность полной подмены личности на IP-уровне.

Пока обычному пользователю можно спать спокойно - школьники с ноутбуками такое не повторят. Но сам факт, что это возможно, должен заставлять операторов и вендоров шевелиться и внедрять integrity protection везде, где только можно. Особенно в 5G, который только разворачивается. Потому что если не закрыть дыры сейчас, через пять лет IMP4GT станет таким же рядовым инструментом, как сейчас IMSI-ловушки.

---

Китайский опыт - IMEI, SMS и перехват звонков​

Пока европейцы и американцы пишут толстые академические статьи про архитектурные проблемы, китайские ребята пошли дальше. Они взяли и проверили, как реально работают сети их собственных операторов. Не в лаборатории с идеальными условиями, а в поле. Трёх крупнейших операторов Китая пропустили через скальпель и нашли такое, что волосы дыбом встает .

Конфигурация - всему голова

Оказывается, даже если стандарт безопасности прописан в спецификациях 3GPP на сто страниц, это не значит, что операторы его включили. Исследователи из Национального университета оборонных технологий (National University of Defense Technology) в Чанше обнаружили множественные конфигурационные ошибки и проблемы реализации у всех трёх проверенных операторов.

Суть проблемы: механизмы защиты данных (целостность и конфиденциальность) либо не включены вовсе, либо настроены так криво, что их можно обойти. Причем часть уязвимостей была известна раньше, но операторы их не закрыли. А часть нашли впервые.

Что конкретно можно сделать

Исследователи не просто нашли дыры - они разработали работающие атаки и проверили их вживую, используя open-source SDR-инструменты (Software Defined Radio). Список возможностей впечатляет:

1. Перехват IMEI и номера телефона (Phone Number Catching). IMEI - это уникальный идентификатор твоего устройства, что-то вроде серийного номера. Номер телефона - вообще святое, он привязан ко всем сервисам. Оказывается, через конфигурационные дыры можно вытащить и то, и другое.
   Еще в 2019 году та же группа из National University of Defense Technology показала Phone Number Catcher - устройство, которое за несколько секунд после подключения жертвы к фейковой вышке вытаскивает номер телефона . Используется IMSI-ловушка и 2G посредник. Смысл простой: в LTE телефон не светит свой номер в эфир, но когда ты звонишь или шлешь SMS, сеть передает номер получателю. И вот этот момент ловят.
2. Подделка SMS (SMS Impersonation). Можно отправить сообщение от имени любого абонента. Прикинуться банком, прикинуться другом, прикинуться Госуслугами. Получатель увидит твой номер в поле "отправитель" и поверит . В 2016 году исследователи из Университета Цинхуа (Tsinghua University) уже показывали атаки на IMS-сервисы, включая SMS spoofing . Они нашли уязвимости в протоколе SIP, который управляет сигнализацией в IMS.
3. Перехват SMS (SMS Interception). Это уже серьезнее. Можно не просто слать левые сообщения, а читать чужие. Те самые коды двухфакторной аутентификации, которые банки шлют, уходят злоумышленнику. И ты даже не узнаешь, потому что тебе сообщение может не прийти или прийти с задержкой.
4. Подделка и перехват звонков (Call Impersonation and Interception). То же самое для голосовых вызовов. Злоумышленник может позвонить от твоего имени или слушать твои разговоры.
   Еще в 2016 году китайская компания Qihoo 360 на конференции Ruxcon в Мельбурне показала живую демонстрацию перехвата звонков в действующей сети LTE . Тогда исследователь Ваньцяо Чжан продемонстрировала запись взлома, где использовалась фемтосота (маленькая базовая станция) и самодельное оборудование для перехвата IMSI . Атака заставляла телефон жертвы переключиться на поддельную вышку, давая полный контроль .
5. Отключение механизмов защиты данных. Самое страшное - можно вообще вырубить защиту на уровне LTE и IMS. После этого весь трафик жертвы идет в открытую .

IMS - отдельная песня

IMS (IP Multimedia Subsystem) - это надстройка над LTE, которая отвечает за голос (VoLTE) и SMS поверх 4G. Там отдельный зоопарк.

Семинар в Tsinghua University в 2021 году был посвящен именно безопасности IMS-based SMS . Они раскопали уязвимости в протоколе SIP и придумали четыре типа атак:

• Silent SMS abuse - скрытые СМС-ки, которые жертва не видит, но они жрут трафик или батарею.
• SMS spoofing - подделка отправителя.
• SMS client DoS - отказ в обслуживании, когда телефон перестает принимать сообщения.
• SMS spamming - рассылка спама с чужого номера.

В 2023 году те же авторы развили тему и показали, что IMS на 4G/5G телефонах совсем не так безопасен, как кажется. Новые уязвимости позволяют делать DoS через все сети, подделывать источник SMS и даже организовывать скрытую связь через Video-over-IMS .

SDR - оружие массового поражения

Все эти атаки делаются на open-source SDR-инструментах . То есть любой школьник с ноутбуком и за 1000 баксов железа может попробовать повторить. Исследователи специально подчеркивают: для этого не надо быть спецслужбой, достаточно базовых знаний GSM/LTE и умения гуглить.

Вот что пишут авторы Phone Number Catcher: "Мы продемонстрировали, что любой человек с базовыми навыками программирования и знанием спецификаций GSM/LTE может легко собрать Phone Number Catcher, используя SDR-инструменты и коммерчески доступное оборудование".

Почему операторы не чинят

Им либо лень, либо дорого. В 2006 году 3GPP (орган, который разрабатывает стандарты сотовой связи) выпустил документ, где признавал возможность таких атак . С тех пор прошло 20 лет. Ничего не изменилось. Функция переключения на другую вышку, которая используется в атаках, была оставлена специально - для балансировки нагрузки при катастрофах и авариях. Но ею пользуются хакеры.

В мае 2016 года рабочая группа по безопасности 3GPP предложила изменения в стандарты, которые должны закрыть дыры. Но пока эти изменения дойдут до реальных сетей, пройдут годы. Операторы обновляют софт медленно, вендоры экономят на безопасности.

Что в сухом остатке

Китайский опыт показывает: твоя безопасность в LTE зависит не от стандартов, а от того, как конкретный оператор настроил оборудование. Если у него кривые руки или он сэкономил на безопасности, твои SMS и звонки могут утекать налево.

Перехват SMS убивает двухфакторную аутентификацию на корню. И это не теория - это практика, подтвержденная в коммерческих сетях трех крупнейших операторов Китая.

Что делать обычному пользователю? Опять двадцать пять: не доверять SMS, ставить аутентификаторы, а для особо важных звонков использовать нормальные мессенджеры с end-to-end шифрованием. И надеяться, что до тебя у хакеров руки не дойдут. Потому что если дойдут - техника у них уже есть.

---

Атаки на LTE-AKA - протокол аутентификации, который тебя не прячет​

Мы добрались до самого сердца LTE-безопасности - до протокола аутентификации. Это святая святых, то, что должно гарантировать: ты - это ты, а вышка - это вышка. Именно здесь решается, пускать тебя в сеть или нет, и именно здесь закладываются ключи шифрования для всего сеанса связи.

И вот тут-то и прячется самая глупая, самая обидная и самая давняя дыра. Протокол AKA (Authentication and Key Agreement) в LTE был спроектирован с врожденным дефектом приватности . Разработчики знали об этом, но махнули рукой - дорого чинить, и так сойдет. Двадцать лет назад это было терпимо. Сейчас - нет.

Как работает LTE-AKA и где там дыра

Если по-простому, LTE-AKA - это процедура рукопожатия между твоим телефоном (UE), вышкой (eNodeB) и домашним сервером оператора (HSS). Они обмениваются ключами, случайными числами, хэшами, и в итоге договариваются о сеансовых ключах, которыми будет шифроваться твой трафик.

Проблема в том, что в этом обмене есть уязвимость, связанная с приватностью. Точнее, с тем, что протокол позволяет пассивно определять, пытается ли конкретный пользователь подключиться к сети. Для этого даже не надо ничего ломать - просто слушать эфир и анализировать запросы.

Раньше это считалось неопасным. Почему? Потому что сота (зона покрытия одной вышки) измерялась квадратными километрами. Ты мог понять, что абонент Х где-то в этом районе, но найти его с точностью до метра было невозможно.

Ситуация кардинально изменилась по двум причинам:

1. Фемтосоты. Маленькие базовые станции для дома или офиса. У них зона покрытия - пара десятков метров. Если ты попал под фемтосоту злоумышленника, он точно знает, где ты находишься.
2. Дешевое оборудование. Стоимость SDR-приемников упала до 20-30 баксов. Собрать IMSI-ловушку теперь может любой студент.

Исследователи из Американского университета Бейрута прямо пишут: старая гипотеза "расстояние защищает" больше не работает. Ожидаемая частота атак, эксплуатирующих эту уязвимость, растет.

Что можно сделать через эту дыру

Уязвимости в LTE-AKA делятся на два класса: пассивные и активные .

1. Пассивные атаки - слежка без следа.
   Ты просто включаешь приемник и слушаешь эфир. IMSI (постоянный идентификатор) в LTE не светится, но используются временные идентификаторы (GUTI). Проблема в том, что по поведению этих временных идентификаторов можно отслеживать перемещения абонента. Корейские исследователи из Hanyang University подтверждают: раскрытие IMSI ведет к раскрытию личности и возможности слежки.
   Академические работы 2012 года от ScienceOpen указывают на еще одну проблему: сообщения, передаваемые в ядре сети (между MME и HSS), тоже могут быть уязвимы. Атака изнутри сети позволяет притворяться легитимным участником протокола и пользоваться услугами связи за чужой счет. Это уже не просто слежка, а полноценный угон аккаунта.
2. Replay-атаки (атаки с повторением).
   Злоумышленник записывает легитимный запрос на аутентификацию, а потом воспроизводит его, пытаясь заставить сеть поверить, что это новый сеанс связи. Если протокол не проверяет свежесть сообщений (nonce, timestamp), такое может прокатить.
   Исследователи из Китая (Chongqing University of Posts and Telecommunications) указывают еще на одну проблему: случайное число RAND, которое генерируется для создания ключей, передается открыто (нешифрованным). А многие параметры вычисляются через функцию, которая использует всего один входной ключ. Это делает их уязвимыми для взлома.
3. Создание профиля активности.
   Самая страшная для обычного пользователя вещь. Используя уязвимости AKA, можно создать так называемые IMSI-ловушки нового поколения, которые работают поверх всех современных протоколов. Они раскрывают детали активности пользователя: сколько звонков и СМС он отправил, сколько принял.
   
   База данных уязвимостей Cybersecurity Help описывает это так: атакующие могут отслеживать пользователя, даже когда он уходит из зоны действия фейковой вышки. Потом, когда жертва ненадолго возвращается в зону покрытия, протокол AKA сливает обновленную информацию о состоянии телефона.
   
   То есть достаточно один раз попасть в зону действия ловушки, и тебя будут пассивно отслеживать через другие вышки, собирая досье. Кто ты, с кем общаешься, как часто, в какое время суток.

Что говорят исследования

В 2023 году вышла обзорная статья в журнале Computer Networks (Elsevier), которая суммировала все известные уязвимости AKA для LTE и 5G . Авторы проанализировали десятки работ и подтвердили: проблемы с приватностью и возможностью трекинга остаются нерешенными в коммерческих сетях. Предлагаемые улучшения (типа использования динамических псевдонимов или PKI) пока не внедрены массово .

А что с 5G?

Казалось бы, в 5G должны были все починить. Ага, щас. Исследование 2024 года на открытом тестовом стенде 5G показало, что уязвимости из 4G плавно перетекли в новый стандарт .

Японские ученые из National Institute of Information and Communications Technology проверили: DoS-атака через повторную отправку Registration Request приводит к неавторизованному увеличению SQN (sequence number) на сетевой стороне. Это нарушает взаимную аутентификацию - ровно та же проблема, что была в 4G .

Более того, это вызывает серьезное нарушение доступности сети. Исследователи прямо заявляют: проблема в самой философии протокола AKA, а не в конкретной реализации . Пока не перепишут протокол с нуля, дыры будут мигрировать в новые поколения связи.

Военные исследователи в статье 2025 года (arXiv) подтверждают: 5G AKA остается уязвимым для replay-based synchronization и linkability-атак . Они предлагают легкие методы mitigation, но это все заплатки, а не фундаментальное решение.

Что в сухом остатке

LTE-AKA сломан по дизайну. Он не прячет твою активность, позволяет следить за перемещениями и собирать досье. Раньше это было нестрашно из-за больших сот и дорогого оборудования. Сейчас фемтосоты и SDR-приемники за 20 баксов делают эти атаки доступными каждому.

5G унаследовал те же проблемы. Операторы не торопятся патчить, вендоры экономят, стандарты эволюционируют медленно.

Для тебя это значит одно: даже если у тебя новейший айфон и последняя версия iOS, твой телефон регулярно кричит в эфир информацию, по которой тебя можно идентифицировать, отследить и составить профиль твоей активности. И сделать это может кто угодно с ноутбуком и антенной за сто баксов.

---

Как защищаться, если ты не оператор​

Теперь главный вопрос: что со всем этим делать обычному человеку? Не директору оператора связи, не разработчику стандартов 3GPP, а тебе - с ноутбуком, айфоном и симкой Билайна или МТС?

Почти ничего. Ты не можешь переписать протоколы. Ты не можешь заставить оператора включить integrity protection. Ты не можешь запретить фемтосотам собирать твой IMSI. Но это не значит, что надо плюнуть и плыть по течению. Кое-что сделать можно. И это кое-что отсеет 90% атакующих. Потому что школьникам с ноутбуками проще пойти на следующую цель, чем ломать твою защиту.

Принцип нуль: операторам плевать, вендорам пофиг

Сотовая сеть создавалась для удобства, а не для безопасности. Безопасность там - это декорация, которую включили, чтобы проходили сертификацию. В реальности большинство операторов экономит на включении защиты целостности, потому что это жрет ресурсы и усложняет оборудование. Твоя задача - не надеяться на оператора, а строить защиту поверх его костылей.

Уровень первый: шифруй всё, что можно зашифровать

Самый простой и самый действенный способ - VPN. Поверх сотового интернета. Всегда. Даже если тебе кажется, что ты просто смотришь ютубчик.

Почему это работает: атаки на 4G позволяют перехватывать трафик, читать его, подменять. Но если твой трафик зашифрован поверх (TLS, VPN), то злоумышленник увидит только набор битов. Ему станет скучно, и он пойдет искать того, кто не парится.

Какой VPN выбрать:

• WireGuard - самый быстрый и безопасный протокол на сегодня. Поднимай свой сервер на дешевом VPS за 3 бакса в месяц и не парься.
• OpenVPN - классика, работает везде, но медленнее.
• Коммерческие VPN - если лень поднимать свое, выбирай те, которые не ведут логи и принимают крипту. Mullvad, ProtonVPN, IVPN.

Важно: VPN защищает только твой трафик от чтения. Он не защищает от слежки за твоим местоположением через сотовую сеть. Потому что ты все еще привязан к вышке оператора.

Уровень второй: отруби ненужное

Чем меньше твой телефон общается с сетью, тем меньше информации он сливает. Есть простые шаги:

1. Выключи 4G, когда не нужен. Сидишь дома на вай-фае - переведи телефон в режим "только 3G" или вообще отключи мобильные данные. Меньше сигнала - меньше возможностей для атаки.
2. Отключи VoLTE. Голос поверх 4G удобен, но он идет через IMS, а там, как мы выяснили, дырок хватает . Если звонишь редко, лучше пусть звонки падают на 3G или 2G.
3. Удали ненужные приложения, которые лезут в сеть. Каждая соцсеть, каждый мессенджер создает фоновый трафик, по которому тебя можно идентифицировать.

Уровень третий: не доверяй SMS

Это мы уже проходили в статье про сим-свопинг, но повторю еще раз. СМС - это не безопасно. Перехват СМС через уязвимости в IMS или через SS7 - это реальность. Коды двухфакторной аутентификации, приходящие по СМС, может читать кто угодно.

Решение:

• Используй TOTP-аутентификаторы (Google Authenticator, Microsoft Authenticator, Authy) для всех сервисов, где это возможно.
• Для критических сервисов - железные ключи YubiKey.
• Если сервис поддерживает только СМС - требуй у них нормальную двухфакторку или меняй сервис.

Уровень четвертый: контроль за вышками

Ты не можешь запретить фейковые вышки, но можешь попытаться их обнаружить. Есть приложения, которые анализируют параметры соты и бьют тревогу, если что-то не так.

Для Android:

• IMSICatcher - детектор IMSI-ловушек, смотрит на изменение параметров вышки.
• Android IMSI-Catcher Detector (AIMSICD) - более продвинутая штука, но требует рута и знаний.

Для iOS с этим туго - Apple не дает приложениям такой низкоуровневый доступ. Там только если джейлбрейк.

Если заметил, что сеть постоянно скачет с 4G на 2G и обратно без причины - это повод насторожиться. Атакующие часто заставляют телефон переходить на более старые стандарты, где защита слабее .

Уровень пятый: паранойя-режим для особо важных

Если ты реально боишься слежки (журналист, адвокат, оппозиционер, или просто у тебя есть что скрывать), простых мер мало. Тут нужна тяжелая артиллерия:

1. Отказ от сотовой связи вообще. Только вай-фай, и только через VPN. Для звонков - Signal или другие мессенджеры с end-to-end шифрованием.
2. Использование спутниковой связи. Спутниковые телефоны сложнее перехватить, но они дорогие и неудобные.
3. Cellular Firewall. Существуют устройства, которые ставятся между телефоном и сетью и блокируют подозрительные вышки. Но это для богатых и параноиков.
4. Клетка Фарадея. Буквально. Если тебе нужно совсем не светиться, телефон должен лежать в экранированном чехле, когда не используется.

Техническая честность: что не поможет

• Режим полета. Включил-выключил - телефон заново регистрируется в сети и может попасть на фейковую вышку. Постоянно в самолете не просидишь.
• Смена IMEI. В некоторых странах это уголовно наказуемо, да и не спасает от трекинга на уровне IMSI.
• Дорогие "защищенные" телефоны. Если телефон работает в сотовой сети, он подчиняется тем же протоколам. Никакой софт на уровне ОС не защитит от дыр в самих протоколах.

Итог по защите

Твоя безопасность в 4G зависит не от оператора, а от тебя. Максимум, что ты можешь сделать:

• Шифровать трафик поверх (VPN).
• Минимизировать использование сотовой сети.
• Не доверять СМС.
• Следить за аномалиями в работе сети.

Этого достаточно, чтобы отсечь 99% атак. Оставшийся 1% - это спецслужбы и очень мотивированные хакеры. Против них бессилен даже YubiKey. Но если ты не президент и не держишь биткоины на 100 лямов, до тебя им дела нет.

---

Заключение​

Физический уровень не шифруется - любой с SDR за 20 баксов может слушать эфир и глушить соседей. Ядро сети течет как решето - через CIV-атаки крадут IMSI и отключают абонентов удаленно. IMP4GT позволяет притворяться тобой перед сетью и сетью перед тобой. Китайские операторы показали, что перехват СМС и звонков - это не теория, а практика. LTE-AKA сливает твою активность и местоположение, а 5G унаследовал те же проблемы.

И знаешь, что самое обидное? Это всё не случайность и не ошибка. Так спроектировано. Стандарты писали двадцать лет назад, когда главным врагом был абонент-неплательщик, а не хакер с ноутбуком. Интегритет защиты целостности выключили, потому что дорого. Взаимную аутентификацию сделали, но приватность туда не закладывали. Операторам до сих пор плевать - они экономят на безопасности, потому что абоненты не жалуются. Вендоры экономят на железе и софте. А ты платишь за тариф и думаешь, что под защитой.

В реальности твой телефон - это маячок, который кричит в эфире: "Я здесь, я Петя, я иду на работу, я пользуюсь Т банком, пришлите мне код из СМС". И этот крик слышат все, у кого есть руки и 100 баксов на USB-свисток.

Что делать?

• Подними VPN. Всегда. Это единственное, что реально шифрует твой трафик поверх гнилых протоколов.
• Забей на СМС-подтверждения. Используй TOTP, YubiKey, что угодно, только не СМС.
• Не живи в зоне покрытия фейковых вышек - пользуйся детекторами IMSI-ловушек, если ты параноик.
• Минимизируй использование сотовой сети там, где есть вай-фай.
• И главное - не храни пароли в заметках и не свети дату рождения в инстаграме. Это уже не про 4G, а про базовую гигиену.

Абсолютной защиты не существует. Если за тобой охотится спецслужба или очень упертый хакер - они найдут способ. Но для 99% атак, которые делают школьники и мелкие мошенники, этих мер хватит. Им проще пойти на следующего типа, чем ломать твой VPN и твою паранойю.

Мы живем в мире, где сотовая сеть - это не безопасный канал, а просто труба. И эту трубу могут прослушивать, подменять и ломать. Ты теперь знаешь об этом. Вопрос в том, будешь ли ты что-то делать или как всегда - авось пронесет.