72,65
рейтинг
18 декабря 2012 в 10:06

Разработка → Обзор векторов атак на мобильные телефоны



Ниже содержатся обзоры возможных векторов атак на мобильные телефоны без описания конкретных методик и действий. Основная задача поста — дать понять, что опасно, а что нет, и как можно защитить свои устройства. В качестве примеров используются известные работающие атаки на старые модели телефонов, либо варианты, закрытые уже почти на всех прошивках.

Можно ли прослушивать разговоры по мобильному телефону?


Да, можно. Сигнал шифруется, но, в целом, при перехвате сигнала прослушивание возможно. Чаще всего речь идёт о записи информации и последующей расшифровке, то есть работе не в реальном времени.

Для защиты сигнала используется три основных алгоритма: А3 для авторизации и защиты от клонирования, А8 для сервисных функций (генерации ключа), А5 — для шифрования речи. Самое интересное — в А5: у алгоритма есть две версии: первая используется в странах, где нет ограничения на технологии шифрования, вторая, менее стойкая и учитывающая региональные особенности — в других странах. По факту это означает что у нас и в большей части Европы сложность перебора ключа сильно падает.

Ещё одна уязвимость — это использование в некоторых странах не полноценного 64-битного ключа, а его аналога, где первые 10 бит заменяются нулями для совместимости с местными требованиями.

На практике для прослушивания телефона используется «чемоданчик» стоимостью около 20.000 долларов, который применяется для перехвата и расшифровки сигнала определённого абонента. Для исполнения атаки нужно находиться рядом с одним из собеседников, поэтому если за вами ходит странный парень с чемоданом — крепко задумайтесь.

Более простой способ прослушивания


Поскольку речь идёт об изъятии ключа, возможна более простая атака через физический доступ к SIM-карте. Карта вставляется в ридер, который делает около 140.000 обращений к ней, что позволяет получить ключ методом дифференциального криптоанализа. Процедура занимает около 8 часов и часто может вызвать срабатывание защиты SIM-карты (имеющей ограничение на количество обращений). Принцип защиты очень простой: не отдавайте свой телефон незнакомым людям на срок больше пары минут.

Замена станции


Ещё один способ дистанционной атаки — это установка ложной базовой станции, выполняющей ту же работу по перебору ключей удалённо. Процесс занимает около 10 часов (это в сумме, например, по часу в день — вполне реально). Наиболее вероятный сценарий — работа там, где нет сигнала. Пример атаки — ездить в одном вагоне метро с абонентом по полчаса в день. Тот же парень с чемоданом, следите за ним.

Как правильно менять SIM-карту


Если вы хотите уйти от спама или ещё чего-то более интересного, надо менять не только SIM-карту, но и сам телефон. Дело в том, что при каждом обращении к сети оператора, передаётся не только ключ карты, но и идентификатор телефона. Использование новой симки в старом телефоне или старой симки в новом в теории сразу нарушает анонимность.

Атака на навигационный модуль (WLAN)


Эта атака знакома тем, кто занимается безопасностью автомобилей. Мобильные терминалы часто используют MAC-адреса ближайших точек доступа для определения местоположения устройства (это Wi-Fi-точки и базовые станции). Можно установить аппаратуру, которая будет «вести» ваш терминал по городу, создавая нужные виртуальные станции — идеальная атака такого типа — это уход с маршрута и заезд туда, куда нужно злоумышленнику, например, при использовании мобильного телефона как навигатора. Атака похожа по исполнению на создание ложного GPS-сигнала, но требует куда менее специфическое оборудование.

SMS


Ряд сервисов позволяет заменять номер отправителя на некое заданное значение. Например, это может быть «Мама» (как если бы номер определился по книге контактов телефона), чей-то номер или название организации. Вариантов фрода и грамотного социнжиниринга с использованием такой возможности протокола довольно много. В сетях «Большой тройки» запрещена подмена номера отправителя сообщения, но из-за проблем совместимости с другими сетями такие сообщения нельзя отсекать без вопросов. Речь именно об особенностях протокола и том, что в некоторых сетях сотовых операторов они используются как полезная фича.

Более редкий случай — flash SMS, сообщение, которое появляется на экране и не складывается в стандартный список SMS телефона: так иногда, например, приходят сервисные сообщения сети. Подделать его сложнее, но всё же реально. Защита, как и от других социнжиниринговых методов, довольно простая — думать, прежде чем делать то, что просят в сообщении.

Старые модели Nokia, Siemens, Motorola и LG подвержены атакам через SMS со специальными текстами. Используя определённые комбинации Unicode-символов можно удалённо отключить или «подвесить» многие модели старых телефонов и несколько — относительно новых. Разновидность этой атаки — вставка управляющих символов в SMS.

Ещё одна особенность — протокол SMS позволял показывать картинки (чем-то напоминающие ASCII-графику из квадратиков), для чего использовалось то, что мы бы сейчас назвали микроформатом. Ряд телефонов никак не проверял содержимое той части SMS, которое кодировало изображение, и прошивка могла «упасть» в случае непредвиденных последовательностей. Ошибочная обработка таких сообщений также связана с тем, что часто телефон не позволяет удалить «битую» SMS, и при атаке можно просто забить его память такими сообщениями.

Телефон можно заблокировать DoS-атакой, посылая сервисные SMS в специальном «невидимом» формате. Речь идёт об использовании сервисного канала, собственно, на котором и был построен сервис SMS как таковой. Злоумышленник может сформировать невидимую SMS двумя типами: забив текст неотображаемыми символами (устройство не сможет раскодировать SMS и не покажет его): например, указать русскую кодировку для китайского языка — это не реальный пример, но есть реально «работающие» в этом плане языковые пары. Второй вариант — манипуляции с WAP-push. В отличие от обычного потока SMS, жертва атаки может даже не узнать, что телефон заблокирован — например, на переговорах, когда партнёр пытается дозвониться для передачи данных. Единственная индикация — некоторые телефоны при получении даже битых SMS включают подсветку.

Синие зубы


Bluetooth в стандартном режиме постоянно рассылает beacon'ы, что позволяет найти устройство со включенным каналом почти сразу. Скрытый блютуз, в теории, сканируется последовательными запросами около 3 лет, но на практике — за считанные минуты, потому что производители записывают в первый и последний октеты адреса свои идентификаторы и идентификаторы устройств. Отсканенный телефон можно подвергнуть атаке переполнением буфера или аналогом инъекции управляющего кода, как и в случае с SMS.

Следующая разновидность атаки — аутентификация в качестве гарнитуры по Bluetooth-каналу. Несмотря на то, что гарнитура считается read-only устройством, она вполне способна инициировать звонок с телефона, что приведёт к прослушиванию обычного разговора в помещении с помощью микрофона телефона.

В некоторых случаях доходит до того, что по «синезубому» каналу можно спокойно забирать адресную книгу, хранимые в телефоне SMS и другие данные. Или — ещё реже – производить операции записи, что должно порадовать параноиков.

Телефону при определённых усилиях можно представиться не только гарнитурой, но и компьютером, с которым происходит синхронизация. Интересная особенность — можно отдать vCalendar в формате, где дата выходит за пределы целочисленного типа — в старых моделях это обычно приводило к затиранию части системной области памяти и сбоям, лечащимся только перепрошивкой.

Сама гарнитура тоже может быть целью атаки: в ней есть микрофон, который часто интересно использовать злоумышленнику. При определённом наборе софта и железа можно спокойно представиться ей другим телефоном и получать данные с микрофона. Правда, надо подобрать PIN-код, но ситуация облегчается, если есть время на перебор. Большая часть пользователей гарнитур в дополнение не меняет забитый производителем PIN-код, что также облегчает атаку.

NFC


Шифрование NFC весьма надёжное, и критичных уязвимостей у протокола пока не нашлось. Поэтому пока единственная сколько-нибудь изученная атака, использующая NFC — это дублирование метки. Грубо говоря, злоумышленник считывает и дублирует метку киоска с газетами, а затем наносит её на киоск с шоколадками. Пользователь оплачивает шоколадку и тем самым передаёт данные устройству, содержащему дубль метки от газеты. Устройство отдаёт данные злоумышленнику, он получает газету.

Ещё некоторые прошивки первых NFC-устройств неверно парсят специально сконструированные метки с NDEF, содержащем заведомо неправильные данные, что также ведёт к аналогам инъекции кода или переполнению буфера. Возможны и соцнижиниринговые атаки, связанные с текстами в таких метках.

Решение — использовать возможности NFC там, где метки точно авторизованы — например, в метро. Сканировать NFC-метки в подворотнях не рекомендуется.

Интернет-атаки


Пожалуй, тут самое простое. Стандартный набор типа «не открывайте файлы от незнакомцев» и «не пользуйтесь почтой без SSL, когда сидите в кафе на открытом Wi-Fi» и так далее. Большая часть атак на высокоуровневые системы связана с установкой тех или иных программных «жучков»-троянов, умеющих снимать данные с камеры, микрофона и так далее.

Из интересных особенностей работы с сетью — есть возможность отправки специальной MMS в формате OMA/OTA для переконфигурирования телефона (так приходят настройки точки доступа от операторов) для замены DNS-сервера. Контроль над таким DNS позволяет получить всю историю посещений сайтов (но не трафик).

Основные векторы-2012


Если всё вышеперечисленное остаётся чем-то близким к кошмарам параноика (дорого и сложно в исполнении) и имеет смысл для атакующего только в достаточно экзотических случаях, есть область, которая создаёт всё больше и больше беспокойства. Речь о мобильных приложениях с дополнительными функциями.

В каждой экосистеме, связанной с мобильной ОС, можно найти примеры работающих «нечестных» приложений. Из наиболее ярких примеров – фонарик для Apple, который почему-то очень уверенно работал с передачей данных.

На данных векторах атаки социнжиниринг очень грамотно сочетается с реализацией различных уязвимостей софта, протоколов и железа. Пример – какой-либо эксплоит заворачивается в приложение-клон известного и начинает продаваться в магазине приложений системы.

Если в сегменте частных лиц закачка приложения может привести максимуму к неприятным эмоциям, то в корпоративном сегменте это настоящая огромная дыра: сотрудник ставит себе зловреда, а атакующий получает доступ ко всем корпоративным ресурсам, используя данный смартфон. Учитывая, что смартфоны часто очень плотно интегрируются в бизнес-среду, такие атаки вызывают всё больше и больше беспокойства – и становятся с каждым месяцем всё большей угрозой.

В качестве решения предлагается обучать пользователей (как мы знаем – не помогает на 100%), проводить модерацию приложений (но это тоже не 100% гарантия), ограничивать источники, например, только корпоративным «Маркетом» или же ставить антивирусы.

Сейчас основная тенденция — разрабатываются и внедряются решения управления мобильными устройствами сотрудников: это общие политики безопасности, жесткий контроль коммерческой информации, собственные наборы приложений, оперативные патчи, защищённые обменники медиаконтента и так далее.

Где можно узнать больше про безопасность телефонов?


Информации (в частности, на английском) в сети очень много. Про отечественные особенности защиты телефонов от прослушивания, рекомендации по безопасным подключениям к сети и другие ликбезные, но полезные вещи мы иногда пишем в B2B-группе «Билайн» в Facebook. Сразу предупреждаем, в отличие от B2C, она ориентирована на владельцев бизнеса, и содержит мало технических деталей при максимуме полезных советов для директоров. Подпишите своего шефа — и он, по крайней мере, будет знать, что безопаснее — Wi-Fi в кафе или 3G-соединение.
Автор: @SKlopov

Комментарии (53)

  • +3
    Для исполнения атаки нужно находиться рядом с одним из собеседников, поэтому если за вами ходит странный парень с чемоданом — крепко задумайтесь

    Со стороны российских спецслужб сейчас же всё значительно проще: просто «неофициально» приходят к твоему оператору и подключают прослушку. Так что бесполезно менять симки, аппараты и т.д.
    • НЛО прилетело и опубликовало эту надпись здесь
      • 0
        да и по идее не «можно получить», а по факту «имеется» 1-2 потока Е1 для соответствующего использования
        • НЛО прилетело и опубликовало эту надпись здесь
    • 0
      Так что бесполезно менять симки, аппараты и т.д.

      Не понимаю. Если взять новый телефон с новой симкой у хорошего знакомого, то как прослушка у оператора это поймает?
      • 0
        Не сразу, конечно, но просто узнают, что теперь другим номером пользуетесь. Вычислят каким (это не так уж и трудно, если отталкиваться от вашего круга общения).
      • НЛО прилетело и опубликовало эту надпись здесь
        • 0
          1 и 3, да.
          Имхо, 2-е желательно, но не обязательно.
          • НЛО прилетело и опубликовало эту надпись здесь
            • 0
              Действительно, я немного не так понял сначала.
      • НЛО прилетело и опубликовало эту надпись здесь
        • +2
          «Я-то думал, это гопники. Ан нет — криптоманьяки, берут у незнакомого человека телефон позвонить».
          • +3
            Стоп, я у вас уже брал телефон месяц назад. Тогда извините.
    • +2
      Ну во-первых: прослушка подключается вполне себе официально и на это есть закон.
      Во-вторых: сотрудники спецслужб никуда не приходят, оператор самостоятельно обязан подключить прослушку и вывести её на пульт ФСБ.
  • +3
    … надо менять не только SIM-карту, но и сам телефон IMEI телефона. Что не всегда легко, но возможно.
    Более редкий случай — flash SMS для того, чтобы его послать, не нужно вообще никакого специального оборудования — множество телефонов Nokia (3720 например) позволяют слать flash-смс наряду с обычными и MMS, но подойдет также и любой другой телефон, понимающий AT-команды, в комплекте с ПК и известнейшей утилитой PDUSpy.
    • 0
      Смена IMEI недостаточна. Следует именно сменить терминал. Вот: Radio fingerprinting
      • 0
        Практическое значение имеют лишь те характеристики, которые логируются на всех БС.

        Иначе сопоставление отпечатков потребует специального оборудования, которое установят на определённую БС, а значит, злоумышленника уже выследили до района одной БС (т.е. скрываться уже несколько поздно).

        Если на большинстве БС логируется только IMEI и не логируются характеристики из радио-отпечатка, то всё ок.
      • 0
        Следует сменить для чего и в каких условиях?
        Упомянутая технология опознавания по аналоговым характеристикам сигнала требует довольно специфического дополнительного оборудования и определенных условий приема сигнала. Иначе, обилие промышленных помех, плотность распределения терминалов и т.п. делает применение этой технологии практически бессмысленным.
  • 0
    Девушку с баулом можно не опасаться?
    • НЛО прилетело и опубликовало эту надпись здесь
  • НЛО прилетело и опубликовало эту надпись здесь
    • +2
      Этот фонарик использовал недокументированный функции для выполнения запрещенного действия. В данном случае это было полезное действие на благо человеков, не желающих платить оператору за включение функции tethering, но в теории могло быть всё, что угодно.
  • 0
    Ходят слухи, что телефон можно прослушивать, даже если он выключен. Знакомые наркоторговцы интересуются, как вытащить аккумулятор в iPhone… и стоит ли мучаться.
    • НЛО прилетело и опубликовало эту надпись здесь
      • НЛО прилетело и опубликовало эту надпись здесь
        • 0
          Надо заземлить фольгу :)
      • +5
        Наркоторговца лучше завернуть в фольгу и положить в ящик.
        • 0
          Ткань тоже ок для завертывания.
          • +1
            Ковер.
      • +1
        Есть специальные пакетики, если положить в него телефон, он теряет связь с бс из-за экранированности пакета. Стоимость таких на известных китайских сайтах в районе 3-5 усд.
        • НЛО прилетело и опубликовало эту надпись здесь
          • +1
            Есть, работают прекрасно. Работая у оператора, в свое время мы использовали такие для некоторых тестов мобильных терминалов.
  • +2
    «есть возможность отправки специальной MMS в формате OMA/OTA для переконфигурирования телефона (так приходят настройки точки доступа от операторов)»

    Если я не ошибаюсь, то похожим способом можно не только в настройках днсы поменять, но и заставить загрузить телефон нечто зловредное.

    Также, можно переконфигурировать не телефон, а симку (на практике сложнее, но возможно), что может дать злоумышленникам дополнительные полезные для них возможности.

    Дополнительно, часто злоумышленники используют недостаточно продуманные механизмы аутентификации пользователя для замены утерянной сим карты. В таком случае, злоумышленники получают возможность получить новую работающую сим карту с номером абонента (в основном, используют для получения доступа к онлайн/мобильному банкингу, который «привязан» к номеру абонента)

    Еще есть уязвимости в браузерах телефонов, которые можно успешно использовать для осуществления набора номеров/отправки смс з заданным текстом с терминала абонента не имея к нему физического доступа (похоже на последние уязвимости с обработкой юссд запросов в самсунгах, которые описывались на хабре)
  • 0
    Не уверен, но мне кажется, что описанное в разделе «Более простой способ прослушивания», позволит только клонировать сим карту абонента, но не предоставит злоумышленнику возможности прослушивания звонков.
    • 0
      Это позволит ему отвечать на вызовы вместо абонента. Кстати, как ведет себя сеть, когда в ней зарегестрированы обе симки-клона?
      • НЛО прилетело и опубликовало эту надпись здесь
      • 0
        Что, однако, не есть «прослушкой».
      • +1
        На практике подобное использовали для перехвата СМС-ок от банка для кражи бабла.
        При этом симку даже не клонировали, а почти легально получали в стиле «потерял, хочу восстановить, вот скан паспорта».
        • 0
          Погодите. Но ведь старая симка при этом сразу блокируется, разве нет?
          • +1
            Даже если и блокируется, вы сразу пойдете получать новую? Я спишу на глюк сети, и в этот день максимум позвоню в техподдержку, а на следующий день пойду менять симку. Сутки есть.
  • +3
    Контроль над таким DNS позволяет получить всю историю посещений сайтов (но не трафик).
    Почему не трафик? Если DNS будет резолвить записи на свой сервер, который будет перенаправлять все запросы на настоящий. *За исключением протоколов с защитой от MITM ароде HTTPS.
    • 0
      Вроде даже прокси можно указывать в автонастройке, не?
  • 0
    Термо-ректальный крипто-анализ никто не отменял
  • 0
    Фотография из старого сериала про шпионов?
    Подскажите, пожалуйста, как назывался.
    • 0
      Напряги извилины
      • 0
        Спасибо!
  • +1
    Не освещён самый популярный в данный момент вектор — «подмена», когда телефон изымается (к примеру в ресторане, клубе, фитнес-центре), через час-другой возвращается. За полчаса-час делается копия всех данных на заранее подготовленный телефон (иногда и корпус перекидывается), но в новом телефоне установлен модуль прослушки (не обязательно железячный модуль, многие новые смартфоны имеют возможности записи разговоров, а написать резидента который будет их потом скидывать на нужные адреса не такая сложная задача)
  • +2
    Мало… мало… тема не раскрыт полностью, где атаки на клиента, на браузеры? Помните как Айфон полностью захекивался с помощью PDF файла 8) Про NFC уже был реальный пример эксплойта для Samsung Galaxy S3 — www.zdnet.com/exploit-beamed-via-nfc-to-hack-samsung-galaxy-s3-android-4-0-4-7000004510/

    И самое главное и модное — атаки на низком уровне, на бейзбенд и тд. Этих примеров в интернетах почти нет, но это не значит что некие люди не работают над этим 8) Хотя тут всегда вопрос вероятности встретится с такой угрозой, учитывая ценность вашего устройства и цену таких атак. Но если делать обзор — то по-полнее бы хотелось.
    • +2
      Согласен на все 100%! Дорогая редакция, я в @#$%! И такая статья от человека, который работает в БиЛайне! Жесть! NFC — дыряв к чертям — читайте презентацию Чарли Миллера с BH US! про безопасность ОСей(WP8,Android,iOS,BlackBerry etc) я вообще молчу — дыры дырой! Тема вообще не раскрыта! Сергей — если Вы не в теме — лучше не пишите вообще!
      • 0
        И я согласен, очень мало действительно нового в статье.
        С одной стороны, по моему опыту, в отечественных операторах сотовой связи темы уязвимостей и атак на мобильные устройства среди сотрудников вообще малопопулярны (до того момента, как что-то не станет массово использоваться злоумышленниками (тогда, лихорадочно начинают думать, как закрывать).
        С другой стороны, дырки есть настолько простые для реализации, что раскрывать даже мелочную информацию о них чревато весьма плохими последствиями.
        К сожалению, это вообще один из первых постов, где хоть что-то по теме безопасности в сотовых сетях на русском написано, и есть хоть какая-то структура.
  • 0
    www.youtube.com/watch?v=YWdHSJsEOck

    Вроде бы, если верить докладчику, не надо находится рядом. Близко — да, но это километры, а не метры.
    И не 20 000, а openmoko телефон (200-300 евро?) для перехвата. Расшифровка — дома, на GPU (если правильно помню) — то есть openmoko телефон ловит пакеты, перекидывает их через интернет на компьютеры (которые вовсе не обязательно носить с собой), и получает обратно ключи.
  • 0
    Шифрование NFC весьма надёжное, и критичных уязвимостей у протокола пока не нашлось.

    Хм. NFC подразумевает три режима работы: P2P, PCD и PICC.
    Стандарты NFC говорят о шифровании только в P2P-режиме (см. ECMA-385, ECMA-386). Там прописан ECDH для обмена ключами и AES для собственно шифрования блоков данных, что пока еще прилично.

    image

    Это все, конечно, здорово, но Peer-to-Peer для NFC слабо распространен по сравнению с PCD/PICC. А вот там о шифровании речи уже нет, оно может быть реализовано только поверх NFC на конкретном проприетарном прикладном протоколе.
  • 0
    Лучшая безопасность — не трындеть лишнего по телефону. Вас послушают недельку-другую-месяц и поймут что слушать там нечего, а времени уходит много и успокоятся.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Самое читаемое Разработка