Как похищают SMS-сообщения и адресную книгу с вашего мобильного телефона
Для большинства людей мобильный телефон уже давно стал чем-то вроде органайзера, где хранятся все заметки, важные данные, контакты, планы, встречи. Очевидно, что информация, хранимая в мобильном телефоне, часто представляет большую ценность.
При желании из мобильного телефона злоумышленник может извлечь историю звонков, отправленные и полученные SMS-сообщения. В отдельных случаях подобные данные содержат ценную информацию.
Многие хранят в мобильных устройствах PIN-коды банковских карточек, номера счетов. Хранимая информация руководителей крупных предприятий может содержать сведения, представляющие собой коммерческую тайну, и быть объектом промышленного шпионажа.
В телефоне также могут храниться персональные данные: информация о ваших передвижениях и распорядке дня. Злоумышленникам, например, важно знать, когда хозяин думает покинуть свою квартиру на длительный срок, чтобы нанести ему нежданный визит.
Очевидно, что наличие подобных данных в памяти мобильного телефона – это пренебрежение правилами личной безопасности. Установка всевозможных паролей и PIN-кодов не способна защитить от похищения ценной информации. Причем вы вряд ли обнаружите этот факт.
Злоумышленник может подключиться к мобильному устройству абсолютно без вашего ведома. Вам не понадобится вводить никаких подтверждений или принимать подозрительные файлы. Злоумышленник бесцеремонно проникнет в ваш телефон, скачает данные, представляющие для него особенный интерес, и отключится. Вы ничего не узнаете.
Что использует злоумыщленник для реализации атаки?
Данная атака основана на уязвимости процедуры разрешения доступа для передачи и приема файлов у ряда мобильных телефонов. Изначально разработчики обмена файлами подразумевали, что он может происходить только между двумя мобильными устройствами.
Именно поэтому в протокол взаимодействия были заложены простые принципы, зачастую не требующие даже разрешения на доступ к файлам. Дело в том, что изначально в протоколе разрешался доступ только к открытым файлам, имена которых заранее прошивались в мобильных аппаратах. Это означает, что сторонний мобильный абонент не смог бы обратиться к произвольным файлам на вашем устройстве, а только лишь к тем, доступ к которым всегда разрешен и имена заранее известны. Файлы типа vCard являются именно такими.
Эта особенность заложена в реализации процесса аутентификации при взаимодействии по протоколу OBEX (Objeсt Exchange Protocol), созданному для простого поэтапного обмена объектами. Протокол OBEX обеспечивает функциональность, сходную с НТТ Р, и поддерживает клиент-серверную модель.
Но производители сотовых телефонов упустили из виду вероятность того, что злоумышленник может обращаться к мобильным устройствам не только с других телефонов, но и с ноутбука, где развернут полноценный OBEX-профиль, который можно настроить таким образом, чтобы обращаться не только к открытым файлам, но и вообще к любому файлу.
Защита от атаки
Для того чтобы защититься от данной атаки необходимо установить обязательную авторизацию на доступ к профилю OPP. Это можно сделать, «перепрошив» телефон и установив специальный патч. К сожалению, на данный момент не существует патчей для каждой модели устройства любого производителя. Стоит помнить, что какова не была бы ваша уверенность в том, что хранимые данные будут неприкосновенны, опасность похищения существует всегда, ведь неуязвимых сотовых телефонов не бывает. И даже если ваш телефон не подвержен разобранной атаке, существует реальная возможность, что вирус, проникший в ваше мобильное устройство, сможет передать важные данные злоумышленнику.
Для большинства людей мобильный телефон уже давно стал чем-то вроде органайзера, где хранятся все заметки, важные данные, контакты, планы, встречи. Очевидно, что информация, хранимая в мобильном телефоне, часто представляет большую ценность.
При желании из мобильного телефона злоумышленник может извлечь историю звонков, отправленные и полученные SMS-сообщения. В отдельных случаях подобные данные содержат ценную информацию.
Многие хранят в мобильных устройствах PIN-коды банковских карточек, номера счетов. Хранимая информация руководителей крупных предприятий может содержать сведения, представляющие собой коммерческую тайну, и быть объектом промышленного шпионажа.
В телефоне также могут храниться персональные данные: информация о ваших передвижениях и распорядке дня. Злоумышленникам, например, важно знать, когда хозяин думает покинуть свою квартиру на длительный срок, чтобы нанести ему нежданный визит.
Очевидно, что наличие подобных данных в памяти мобильного телефона – это пренебрежение правилами личной безопасности. Установка всевозможных паролей и PIN-кодов не способна защитить от похищения ценной информации. Причем вы вряд ли обнаружите этот факт.
Злоумышленник может подключиться к мобильному устройству абсолютно без вашего ведома. Вам не понадобится вводить никаких подтверждений или принимать подозрительные файлы. Злоумышленник бесцеремонно проникнет в ваш телефон, скачает данные, представляющие для него особенный интерес, и отключится. Вы ничего не узнаете.
Что использует злоумыщленник для реализации атаки?
Данная атака основана на уязвимости процедуры разрешения доступа для передачи и приема файлов у ряда мобильных телефонов. Изначально разработчики обмена файлами подразумевали, что он может происходить только между двумя мобильными устройствами.
Именно поэтому в протокол взаимодействия были заложены простые принципы, зачастую не требующие даже разрешения на доступ к файлам. Дело в том, что изначально в протоколе разрешался доступ только к открытым файлам, имена которых заранее прошивались в мобильных аппаратах. Это означает, что сторонний мобильный абонент не смог бы обратиться к произвольным файлам на вашем устройстве, а только лишь к тем, доступ к которым всегда разрешен и имена заранее известны. Файлы типа vCard являются именно такими.
Эта особенность заложена в реализации процесса аутентификации при взаимодействии по протоколу OBEX (Objeсt Exchange Protocol), созданному для простого поэтапного обмена объектами. Протокол OBEX обеспечивает функциональность, сходную с НТТ Р, и поддерживает клиент-серверную модель.
Но производители сотовых телефонов упустили из виду вероятность того, что злоумышленник может обращаться к мобильным устройствам не только с других телефонов, но и с ноутбука, где развернут полноценный OBEX-профиль, который можно настроить таким образом, чтобы обращаться не только к открытым файлам, но и вообще к любому файлу.
Защита от атаки
Для того чтобы защититься от данной атаки необходимо установить обязательную авторизацию на доступ к профилю OPP. Это можно сделать, «перепрошив» телефон и установив специальный патч. К сожалению, на данный момент не существует патчей для каждой модели устройства любого производителя. Стоит помнить, что какова не была бы ваша уверенность в том, что хранимые данные будут неприкосновенны, опасность похищения существует всегда, ведь неуязвимых сотовых телефонов не бывает. И даже если ваш телефон не подвержен разобранной атаке, существует реальная возможность, что вирус, проникший в ваше мобильное устройство, сможет передать важные данные злоумышленнику.
