Scoperto Sni5Gect: attacco 5G che può spiare e sabotare lo smartphone a 20 metri di distanza

Presentato Sni5Gect, un framework che espone nuove vulnerabilità nelle reti 5G, consentendo sniffing, injection e downgrade a 4G senza l'uso di base station malevole. L’attacco mette in discussione la sicurezza intrinseca del 5G e potrebbe richiedere modifiche agli standard 3GPP.
Michele Nasi
Pubblicato il 20 ago 2025
Scoperto Sni5Gect: attacco 5G che può spiare e sabotare lo smartphone a 20 metri di distanza

Un gruppo di ricercatori della Singapore University of Technology and Design (SUTD) ha reso pubblici i dettagli di un nuovo attacco contro le reti 5G che segna un salto qualitativo rispetto alle tecniche precedentemente conosciute. Denominato Sni5Gect, il framework sviluppato consente di sniffare e iniettare messaggi nelle comunicazioni 5G senza la necessità di una stazione base malevola (rogue gNB), eliminando una delle principali barriere operative.

Come funziona lo “sniffer silenzioso” per le reti 5G

Tradizionalmente, gli attacchi contro le reti cellulari 5G e 4G si basavano sull’allestimento di base station fasulle alle quali il dispositivo della vittima doveva connettersi. La strategia, seppur efficace in contesti controllati, comportava elevati costi e complessità tecniche, oltre a una maggiore probabilità di rilevamento.

Con Sni5Gect lo scenario cambia radicalmente: l’attaccante si posiziona entro un raggio massimo di circa 20 metri dalla vittima, intercetta i messaggi non cifrati scambiati tra lo smartphone e la cella durante la fase di connessione, inietta pacchetti malevoli prima che sia abilitata la protezione crittografica.

Tale finestra di vulnerabilità è più frequente di quanto si possa pensare: basta che il terminale perda la connessione e si riagganci alla rete, situazione comune in contesti come l’uscita da una galleria, l’attivazione del telefono dopo un volo o l’uso dell’ascensore.

Capacità e scenari di attacco

Il framework, disponibile sotto forma di progetto open source e testato su vari modelli di smartphone commerciali (tra cui OnePlus Nord CE 2, Samsung Galaxy S22, Google Pixel 7 e Huawei P40 Pro), supporta diverse modalità operative:

  • Sniffing uplink e downlink: con un’accuratezza dell’80%, permette di monitorare lo scambio di messaggi MAC-NR in chiaro.
  • Injection: con un successo tra il 70% e il 90%, consente di inserire pacchetti malevoli nello stream di comunicazione.
  • Crash dei modem: sfruttando vulnerabilità note (i.e. 5Ghoul), è possibile mandare in blocco dispositivi basati su modem MediaTek.
  • Downgrade da 5G a 4G: induce il terminale a utilizzare tecnologie meno sicure e già note per essere attaccabili.
  • Fingerprinting: permette l’identificazione univoca del dispositivo, aprendo la strada a scenari di sorveglianza e tracciamento.
  • Bypass parziale dell’autenticazione: in condizioni specifiche, i ricercatori hanno dimostrato un attacco di tipo 5G AKA bypass. Significa che sono riusciti a eludere l’uso del protocollo di autenticazione e scambio di chiavi usato nelle reti 5G per stabilire l’identità dell’utente, una sessione sicura tra smartphone e rete, le chiavi crittografiche che proteggono integrità e riservatezza delle comunicazioni.

Architettura tecnica di Sni5Gect e implicazioni di sicurezza

Il framework si appoggia a un’infrastruttura Software Defined Radio (SDR), tipicamente con dispositivi USRP (B210 o X310), e utilizza librerie come srsRAN per l’elaborazione dei segnali.

L’impatto di Sni5Gect è duplice. Da un lato comporta la riduzione della barriera tecnica agli attacchi 5G. Nello specifico, l’assenza di una rogue base station abbassa drasticamente i requisiti infrastrutturali e la visibilità dell’attacco, rendendolo più scalabile e silenzioso.

Dall’altro lato, Sni5Gect tende a scardinare il concetto di 5G come rete intrinsecamente sicura. Uno dei pilastri della narrativa sul 5G era infatti la protezione avanzata del piano di controllo. Sni5Gect dimostra invece che la fase di pre-autenticazione rimane un punto debole critico.

Il rischio più grave non è solo il crash dei modem o il tracciamento dei dispositivi, ma la possibilità di forzare un downgrade a tecnologie meno sicure come il 4G, creando un ponte diretto verso vulnerabilità note e già sfruttate in passato.

GSMA ha riconosciuto la gravità della scoperta, assegnandole l’identificativo CVD-2024-0096. La comunità accademica e gli operatori di rete stanno valutando possibili mitigazioni. Tuttavia, la natura intrinseca del problema – l’esistenza di un intervallo di comunicazioni non cifrate – rappresenta una sfida che potrebbe richiedere aggiornamenti a livello di standard 3GPP, non solo patch lato vendor.

Ti consigliamo anche

Whispering: Trascrizione vocale open source sicura e veloce, in locale!
Business

Whispering: Trascrizione vocale open source sicura e veloce, in locale!
Leak storico: il trojan bancario ERMAC 3.0 ora è completamente visibile ai ricercatori
Sicurezza

Leak storico: il trojan bancario ERMAC 3.0 ora è completamente visibile ai ricercatori
iOS 26: novità in arrivo per toni, prestazioni e Liquid Glass
Mobile

iOS 26: novità in arrivo per toni, prestazioni e Liquid Glass
La generazione AI delle immagini arriva su Google Documenti per Android
Applicativi

La generazione AI delle immagini arriva su Google Documenti per Android
Link copiato negli appunti