Nakatuklas ang isang grupo ng mga mananaliksik na ang mga geosynchronous satellites, na nagpapadala ng internet at phone data sa mga lugar na hindi maabot ng karaniwang mga kable, ay nagbo-broadcast ng sensitive data na kayang i-intercept ng sinuman na may kagamitan na nagkakahalaga ng humigit-kumulang $600.
Nagsaad ang isang grupo ng anim na academics mula sa University of Maryland at University of California sa isang paper, na ang “nakakagulat na malaking dami ng sensitive traffic” ay ibinobroadcast nang unencrypted sa plaintext sa buong satellite network.
Kasama rito ang mga encryption key para sa cellular communication, mga SMS ng mga mamamayan, at maging ang traffic para sa mga sistema ng militar at kritikal na imprastraktura.
Sinabi ng mga mananaliksik na natuklasan nila ang lahat ng ito sa pamamagitan ng pagse-set up ng isang consumer-grade satellite dish sa bubong ng isang gusali ng unibersidad sa San Diego at pagmamasid sa 39 na geosynchronous satellites.
“Maaaring pasibong obserbahan ang data na ito ng sinuman na may kagamitan na consumer-grade na nagkakahalaga ng ilang daang dolyar,” sinabi ng mga mananaliksik.
“Mayroong libu-libong geostationary satellite transponders sa buong mundo, at ang data mula sa isang transponder ay maaaring makita mula sa isang lugar na kasinlaki ng 40% ng ibabaw ng mundo.”
Paano protektahan ang sarili mula sa mapanuring mata
Inirerekomenda ng mga mananaliksik na mag-ingat ang mga user sa pamamagitan ng paggamit ng mga serbisyo tulad ng VPNs, na nagtatago ng mga IP address at nag-e-encrypt ng data, dahil walang paraan upang malaman kung ang mga provider ay nag-e-encrypt ng data traffic.
Dapat isagawa ang mga messaging at voice communication sa pamamagitan ng mga end-to-end encrypted app tulad ng Signal o Telegram, na awtomatikong nagpoprotekta sa privacy ng user, ngunit maaari ring mag-alok ang mga satellite communication provider ng encryption bilang karagdagang feature sa kanilang mga serbisyo.
“Dapat gamitin ang encryption sa bawat layer bilang defense-in-depth protection laban sa mga indibidwal na pagkakamali. Ituring ang encryption na mandatory, hindi isang add-on,” sinabi ng mga mananaliksik.
Naitama na ng ilang provider ang isyu
Inabisuhan ng mga mananaliksik ang ilang malalaking provider tungkol sa isyu noong panahon ng pag-aaral, na nagpahayag na gumawa sila ng mga hakbang upang tugunan ang problema.
“Walang iisang stakeholder na responsable para sa pag-e-encrypt ng GEO satellite communications,” sabi nila.
“Dumaan kami sa malaking pagsisikap sa tuwing natutuklasan namin ang sensitive information sa aming data upang tukuyin ang responsableng partido, makipag-ugnayan, at isiwalat ang vulnerability.”
Sinabi ng mga mananaliksik na na-verify nila na naisagawa ang isang fix matapos nilang muling i-scan ang mga network na ginagamit ng T-Mobile, Walmart, at KPU, ngunit nagbabala rin sila na itinatago nila ang impormasyon tungkol sa iba pang apektadong sistema dahil patuloy pa rin ang pagsisiwalat.
Masyadong magastos ang encryption
Dahil sa mga overhead cost na kaakibat nito ang pangunahing dahilan kung bakit hindi naka-encrypt ang data traffic, ayon sa mga mananaliksik, kung saan ang ilang malalayo at off-grid na mga receiver ay hindi kayang bayaran ang hardware at license fees.
Kasabay nito, maaaring magpahirap ang encryption sa paglutas ng mga isyu sa network at maka-degrade ng reliability ng mga emergency service. Ang iba naman ay walang kaalaman sa panganib o minamaliit ang panganib at dali ng pag-i-intercept ng data.
Kaugnay: Durov ng Telegram: 'nauubusan na tayo ng oras para iligtas ang free internet'
“Sinabi ng mga mananaliksik na “Bagama’t malaking atensyon mula sa akademya at mga aktibista ang ibinuhos upang matiyak ang halos pangkalahatan na paggamit ng encryption para sa mga modern web browser, mas kaunti ang nakikitang atensyon at pagtuon na ibinibigay sa satellite network communications,” sabi ng mga mananaliksik.
Nag-focus ang pag-aaral sa geosynchronous equatorial orbit (GEO) satellite systems, na nananatili sa nakapirming posisyon. Hindi nito inimbestigahan ang mga low-Earth orbit systems, tulad ng Starlink ni Elon Musk, dahil nangangailangan iyon ng mas kumplikado na receiving hardware.
“Ang pagkakaunawa namin ay naka-encrypt ang mga link na iyon, ngunit hindi namin ito napatunayan isa-isa.”