主要供应商的 5G 移动网络调制解调器固件实现中存在一组统称为 5Ghoul 的缺陷，会影响 Android 和 iOS 设备。

新加坡科技设计大学的一组研究人员在主要芯片组供应商的 5G 移动网络调制解调器的固件实现中发现了一组安全漏洞。这些缺陷影响了包括联发科和高通在内的知名供应商。

研究人员注意到，智能手机、CPE 路由器和 USB 调制解调器等众多 5G 商用产品可能会受到影响。这些漏洞影响 5G 调制解调器，有 10 个问题影响高通和联发科，其中 3 个被评为高严重性。

“在这份漏洞披露报告中，我们讨论了 5Ghoul 的详细信息——一系列实施级 5G 漏洞。主要芯片组供应商（高通和联发科）的 5G 移动网络调制解调器的固件实现中存在此类漏洞。” 阅读报告。“截至今天，我们总共披露了 14 个漏洞（10 个 CVE），其中 10 个影响采用高通和联发科 5G 调制解调器的商用现成 (COTS) 边缘设备。由于保密原因，至少还有另外两个漏洞尚未披露。”

威胁行为者可以利用这些漏洞来阻止连接、冻结连接以强制手动重新启动或将 5G 连接降级为 4G。

5Ghoul 攻击依赖于模仿有限 Dolev-Yao 对手的模型 ，攻击者试图欺骗支持 5G 的目标设备以连接恶意基站 (gNB)。这是通过揭示对手控制的下行链路信道来实现的，从而能够使用 OpenAirInterface (gNB) 和 Open5GS（5G 核心网络）从实际 5G 堆栈实现中注入和修改 5G NR 下行链路数据包。

这是通过暴露 对手控制的 下行链路通道 来实现的，该通道可以任意注入和/或修改基于 OpenAirInterface (gNB) 和 Open5GS（5G 核心网络）的真实 5G 堆栈实现生成的 5G NR 下行链路数据包。

攻击者必须使用已知的蜂窝塔连接参数（例如，SSB ARFCN、跟踪区域代码、物理小区 ID、A 点频率）来冒充合法 gNB。像Cellular-Pro这样的免费软件 允许这样做。

研究人员指出，攻击者不需要知道目标UE的任何秘密信息，例如UE的SIM卡详细信息，即可完成NAS网络注册。

攻击者必须足够接近目标 UE，并且 敌方 gNB 的接收信号强度指示符 (RSSI) 高于合法 gNB。目标设备将连接到敌方 gNB。敌方 gNB 可以在整个消息交换过程中自由地操纵到目标 UE 的下行链路消息。

“实际上，通过在目标 5G UE 设备的无线电范围内启动恶意 gNB，可以轻松通过无线方式利用 5Ghoul 漏洞。” 报告继续。“这是一种实用的设置，依赖于使用软件定义无线电 (SDR) 来充当克隆 gNB。虽然我们的设置中使用的 USRP B210 可以从远处识别，从而使攻击在视觉上显而易见，但此类设备已经小型化至 Raspberry Pi 的大小。反过来，这使得 SDR 能够用于明显的隐秘攻击。”

这些漏洞影响了 24 家供应商的 714 款智能手机，包括三星、OnePlus、Oppo、Vivo、小米、苹果和谷歌。

以下是研究人员测试中使用的易受攻击的目标及其固件版本列表：

下表包含 5G 实施漏洞和受影响的软件或产品的列表：

截至发布报告时， 联发科 和 高通 均已发布安全更新，以解决 14 个漏洞中的 12 个。另外两个缺陷的补丁预计将在未来公开。

“虽然 5G 在支持复杂应用方面具有巨大潜力，但我们预计需要进行更深入的研究，自动、全面地寻找 5G 软件系统中的实现级漏洞。” 报告总结道。“考虑到5G网络堆栈的多层、复杂实现及其封闭性，5G安全测试的研究还有很长的路要走。这从主要芯片组供应商发现的 5Ghoul 漏洞中可以明显看出，尽管这些芯片组供应商拥有全面测试自己的 5G 堆栈的所有资源，但仍然容易受到 5Ghoul 漏洞的影响。“