Παρασκευή 27 Ιουλίου 2012

Έτσι παρακολουθούσε όλα τα κινητά τηλέφωνα ο μιστερ drindrin

Διάτρητα αποδεικνύονται τα λειτουργικά συστήματα στα σύγχρονα κινητά τηλέφωνα, τα γνωστά smartphones, καθώς αποδεικνύεται ότι εδώ και χρόνια είναι γνωστό ότι μπορεί κανείς να υποκλέψει
τις προσωπικές μας πληροφορίες στέλνοντας ειδικά διαμορφωμένα SMS.
Ειδικότερα, τεχνικές παρόμοιες με αυτές που χρησιμοποίησε ο 33χρονος μίστερ drindrin για να υποκλέπτει πληροφορίες από τα κινητά των θυμάτων του, φαίνεται πως έχουν δημοσιευθεί στο Διαδίκτυο, και σε περιοδικά υπολογιστών και ασφάλειας, από το... 2009.
Μια μικρή έρευνα δείχνει ότι τέτοια κόλπα υπάρχουν τόσο για iPhone όσο και για Android και Windows κινητά.
SMS χωρίς το τελευταίο byte
Το 2009 μάλιστα οι ερευνητές ασφάλειας Τσάρλι Μίλερ και Κόλιν Μούλινερ είχαν επιδείξει στο συνέδριο Black Hat μια απλή μέθοδο για να παίρνουν πληροφορίες από iPhone (δείτε εδώ). Η μέθοδος ήταν απλή και βασίζεται στο γεγονός ότι τα smartphones είναι ουσιαστικά μικροί υπολογιστές. Αν και δεν φαίνεται, στα λειτουργικά τους συστήματα υπάρχει ο λογαριασμός του απλού χρήστη και ένας λογαριασμός με δικαιώματα υπερχρήστη (root). οι εφαρμογές τρέχουν συνήθως από τους κανονικούς χρήστες. Οι Μίλερ και Μούλινερ έδειξαν τότε ότι στέλνοντας σε ένα iPhone εκατοντάδες ειδικά SMS (από τα οποία έλειπε το τελευταίο byte πληροφορίας) μπορούσαν να αποκτήσουν δικαιώματα υπερχρήστη και να κάνουν σχεδόν ότι θέλουν, χωρίς ο παραλήπτης να το καταλαβαίνει. Κι αυτό γιατί η εφαρμογή του iPhone που δέχεται τα SMS τρέχει με δικαιώματα υπερχρήστη. Στη συνέχεια, η Apple αναγνώρισε το πρόβλημα ασφαλείας και έβγαλε αναβάθμιση για το λειτουργικό σύστημα του iPhone.
Το SMS του μεσονυχτίου
Δεν είναι μόνο αυτό όμως. Αντίστοιχο πρόβλημα ασφάλειας είχαν αναφερθεί και για τα smartphones με Windows. Το κόλπο είναι γνωστό ως Midnight Raid (δείτε εδώ) και πήρε το όνομά του από το χρόνο της επίθεσης, συνήθως την ώρα που ο κάτοχος του κινητού κοιμάται. O επιτιθέμενος στέλνει από τον υπολογιστή του (όπου έχει mobile σύνδεση στο Internet) ένα SMS προς το κινητό του θύματος σε ώρα που αυτό δεν θα γίνει αντιληπτό. Το μήνυμα είναι ειδικά διαμορφωμένο ώστε να ανοίγει στο smartphone του παραλήπτη το Internet Explorer, τρέχει ένα εκτελέσιμο αρχείο, κλέβει τα δεδομένα που θέλει και τα στέλνει πίσω στον επιτιθέμενο πάλι με SMS! Και όλα αυτά την ώρα που ο χρήστης κοιμάται.
Πως μπορεί να προστατεθεί κανείς από τον κίνδυνο; Στην περίπτωση της επίθεσης στα iPhone, οι ερευνητές προειδοποιούσαν τους χρήστες να απενεργοποιούν αμέσως το κινητό τους μόλις λάμβαναν ένα SMS που περιείχε μόνο έναν τετράγωνο χαρακτήρα. Ενώ για την επίθεση Midnight Raid, η μόνη λύση είναι η πλήρης απενεργοποίηση του κινητού την ώρα του ύπνου.
Spoofing και malware
Άλλο κόλπο είναι η αποστολή ενός SMS το οποίο περιέχει ένα σύνδεσμο για μια ιστοσελίδα. Για να γίνει πειστικότερο, το SMS χρησιμοποιεί την τεχνική spoofing, δηλαδή φαίνεται σαν να προέρχεται από τον πάροχο, που υποτίθεται ότι του ζητά να προχωρήσει άμεσα στην αναβάθμιση του κινητού τηλεφώνου του επισκεπτόμενος την συγκεκριμένη ιστοσελίδα.
Αν ο παραλήπτης είναι ανυποψίαστος και επισκεφθεί τη σελίδα εκείνη, τότε υπό προϋποθέσεις μπορεί ο επιτιθέμενος να εγκαταστήσει κακόβουλο λογισμικό στο κινητό του τηλέφωνο και να υποκλέπτει ότι θέλει!

Δεν υπάρχουν σχόλια:

Δημοσίευση σχολίου