韩国电信的飞蜂窝安全漏洞导致客户面临监控和欺诈风险

韩国科学技术情报通信部的一项调查发现，当地运营商韩国电信部署了数千台安全措施薄弱的飞蜂窝设备，导致一起攻击事件发生，使得用户的小额支付遭遇欺诈，且通信可能被监控——这种情况或许持续了数年。

飞蜂窝是用户驻地设备，包含一个小型移动基站，并利用有线宽带服务作为回程链路接入运营商的网络。运营商通常在移动网络信号较弱的区域部署此类设备，以改善用户家庭及周边的覆盖。

韩国电信部署了数千台此类设备，所有这些设备都使用同一份证书来验证其运营商网络的身份。根据韩国信息安全学者、IEEE Fellow 金容大教授的分析，这些飞蜂窝没有根密码、以明文形式存储密钥，并且因为启用了SSH服务而可以被远程访问。

因此，攻击者可以轻易入侵并获取该证书，然后利用它克隆一台飞蜂窝。韩国电信会将其视为合法设备，并欣然将其连接到自己的网络。由于该证书设置为十年后过期，了解这些漏洞的恶意分子有很长一段时间可以克隆飞蜂窝并用于非法活动。韩国科学技术情报通信部的报告显示，攻击者在2024年至2025年期间使用一台伪造的飞蜂窝长达十个月。

报告还发现，韩国电信客户的设备会自动连接到克隆的飞蜂窝，攻击者可以读取这些客户的短信，并了解他们拨打的电话号码。

微支付中的线索 韩国电信运营一项小额支付服务，允许其客户使用短信支付数字内容费用。今年九月，该运营商调查了部分客户的账单，发现了克隆飞蜂窝在交易中被使用，涉案金额达169,000美元。

科学技术情报通信部的报告称，有368名客户成为此次小额支付诈骗的受害者。

金容大写道，对于这种复杂的基础设施攻击而言，169,000美元的获利“低得荒谬”。“合理的推论：大规模数据收集是主要目的。是某人的贪欲暴露了它。如果没有微支付欺诈，这将是无法被发现的，”他补充道，暗示运行克隆飞蜂窝的恶意分子可能利用了他们访问客户手机的能力进行监控。

更深层的威胁 这一推论似乎合理，原因有二。其一，韩国电信仅拥有可追溯到2024年7月的支付数据。因此，科学技术情报通信部的报告指出，这并非飞蜂窝相关问题的完整说明。

其二，韩国警方于今日公布了对此事的调查结果，发现一台伪造的飞蜂窝使用了2019年在韩国军事基地使用的一台设备中安装的密钥，而该设备于2020年丢失。

警方调查发现了多台克隆的飞蜂窝，以及一个大型团伙运行这些设备的证据。警方逮捕了13名涉嫌参与者，并且不排除该团伙运营所需的部分信息来自此前对韩国电信的一次攻击——那次攻击导致BPFDoor恶意软件从2022年起持续三年从该运营商处泄露信息。调查还指控，犯罪者曾在运行非法飞蜂窝时进行“车载攻击”，以寻找更多可以接入的手机。其中一名被捕男子试图在仁川机场使用伪造的飞蜂窝，就在同一天，另有人试图将破解的硬件出口到中国。

据称是该团伙的主谋目前仍在逃，但已成为国际刑警组织红色通缉令的目标。

韩国政府的反应 韩国政府已作出反应，坚持要求韩国电信允许客户无需支付违约金即可终止合同。

韩国目前是安全漏洞频发的热点地区。当地电商Coupang和SK电信都因泄露数百万客户记录而陷入麻烦。该国还遭受了一场大规模摄像头劫持行动，严重侵犯了部分公民的隐私，并面临来自朝鲜的持续攻击和挑衅。