Giao thức "Authentication and Key Agreement" (viết tắt là AKA) được dùng để bảo vệ an ninh kết nối giữa người dùng di động và các trạm tiếp sóng, đã từng bị lợi dụng bởi các thiết bị theo dõi như StingRay (thường được cảnh sát và các cơ quan chính phủ sử dụng).

Trong một tài liệu được công bố bởi Hiệp hội nghiên cứu tiền điện tử quốc tế (International Association for Cryptologic Research), các nhà nghiên cứu từ Viện Công nghệ Liên bang Thụy Sĩ, Đại học Kỹ thuật Berlin và Viện nghiên cứu SINTEF Digital (Nauy) cho biết, họ tìm thấy một kiểu tấn công quyền riêng tư mới với tất cả các biến thể của giao thức AKA, kể cả bản dùng cho 5G, vi phạm quyền riêng tư của người dùng hơn nhiều so với những kiểu tấn công khác.

Kiểu tấn công này nghiêm trọng vì nó sử dụng lỗ hổng bên trong giao thức, điều này có nghĩa là nó không liên quan tới một kiểu triển khai cụ thể nào của AKA, vì thế nó tác động đến tất cả các kết nối (từ 3G tới 5G).

AKA là một giao thức thử thách – phản hồi dựa chủ yếu vào mã hoá đối xứng và một số thứ tự (SQN) để kiểm tra các thử thách, từ đó ngăn chặn các kiểu tấn công phát lại (replay).

Sau khi phát hiện các lỗ hổng trước đây trong mạng di động, những chiếc điện thoại di động có thể bị đánh lừa bởi các trạm tiếp sóng giả như StingRay, cơ quan chịu trách nhiệm về các tiêu chuẩn cho điện thoại di động là 3GPP đã nâng cấp AKA cho 5G, với mã hoá bất đối xứng ngẫu nhiên để bảo vệ định danh người dùng được gửi đi trong quá trình bắt tay trước khi mã hoá. Tuy nhiên, phiên bản mới vẫn sử dụng SQN và tài liệu mới của các nhà nghiên cứu cho biết, đó chính là thứ bị họ tấn công. Các nhà nghiên cứu phát hiện SQN thiếu sự ngẫu nhiên và việc AKA sử dụng toán tử XOR cho phép họ đánh bại cơ chế bảo vệ SQN.

Tuy kiểu tấn công này chỉ giới hạn trong việc giám sát các hoạt động của người dùng, số cuộc gọi, SMS, vị trí,… chứ không nghe lén được nội dung các cuộc gọi, nhưng các nhà nghiên cứu cho rằng nó tệ hơn các vấn đề trước đây (ví dụ như StingRay) vì những kiểu tấn công trước đây chỉ có tác dụng khi người dùng nằm trong phạm vi của trạm tiếp sóng giả.

Kiểu tấn công mới có thể thu thập thông tin ngoài phạm vi trạm tiếp sóng giả nếu nạn nhân quay lại khu vực đó. Lỗ hổng xuất hiện vì kẻ tấn công có thể gửi các thử thách xác thực vào những thời điểm khác nhau để thu thập SQN và khéo léo lựa chọn những mốc thời gian khác nhau, kẻ tấn công có thể lợi dụng các giá trị SQN để phá vỡ tính bí mật của SQN.

Bản thử nghiệm của các nhà nghiên cứu cần một máy tính xách tay, một phần mềm phổ biến cho thiết bị ngoại vi radio, một đầu đọc thẻ thông minh và phần mềm OpenLTE. Ngoài chiếc máy tính xách tay, những thứ còn lại có giá trị khoảng 1.140 euro và chiếc máy tính xách tay có thể được thay thế một cách dễ dàng bằng một chiếc Raspberry Pi.

Các nhà nghiên cứu cho biết, họ đã cảnh báo 3GPP, GSM Association; các nhà cung cấp Huawei, Nokia và Ericsson; các công ty viễn thông Deutsche Telekom và Vodafone UK. GSMA và 3GPP tiết lộ, các biện pháp khắc phục sẽ được thực hiện cho các phiên bản tiếp theo. Tuy nhiên, những nơi triển khai 5G sớm sẽ có thể bị ảnh hưởng bởi lỗi hổng này.