Πώς να αποτρέψετε τους χάκερ να σκουπίσουν το τηλέφωνό σας Android με έναν μόνο σύνδεσμο

Κορυφαία οθόνη Galaxy S III

Το οικοσύστημα Android χτύπησε χθες με την αποκάλυψη ότι οι απλοί σύνδεσμοι - κάτι που απλώς ανοίγετε στο διαδίκτυο - θα μπορούσαν να προκαλέσουν μια πλήρη διαγραφή ορισμένων συσκευών Android. Ο ερευνητής Ravi Borgaonkar αποκάλυψε την εκμετάλλευση και (φυσικά) η συσκευή που έδωσε όλη την προσοχή ήταν το κορυφαίο σε πωλήσεις Samsung Galaxy S III. Η Samsung έχει ήδη εκδώσει μια ενημέρωση κώδικα για την ευπάθεια. Αλλά αποδεικνύεται ότι πολλά άλλα τηλέφωνα Android είναι προφανώς ευάλωτα στην ίδια εκμετάλλευση. Η ρίζα του προβλήματος βρίσκεται στον τυπικό επιλογέα Android. παρόλο που η Google έχει επιδιορθώσει το πρόβλημα πριν από μήνες, αυτή η επιδιόρθωση ενδέχεται να μην είχε φτάσει σε τρέχουσες συσκευές Android και πολλοί δεν θα το λάβουν ποτέ.

Υπάρχει λόγος ανησυχίας, αλλά όχι πανικός. Δείτε πώς λειτουργεί το exploit και μερικές συμβουλές για το πώς μπορούν να προστατευτούν οι χρήστες Android.

Τι είναι το USSD;

Το νέο Android exploit βασίζεται σε ένα πρωτόκολλο ενσωματωμένο στα περισσότερα τηλέφωνα που ονομάζεται USSD ή Unstructured Supplementary Service Data. Σκεφτείτε το USSD σαν ένα πρωτόκολλο ανταλλαγής μηνυμάτων κειμένου, αλλά αντί να χρησιμοποιείται για τη μετάδοση σύντομων μηνυμάτων μεταξύ χρηστών τηλεφώνου, προορίζεται να επιτρέψει τόσο στους κατασκευαστές συσκευών όσο και στις εταιρείες κινητής τηλεφωνίας να δημιουργήσουν πρόσθετες υπηρεσίες για τα τηλέφωνα και το δίκτυό τους. Όπως τα μηνύματα κειμένου, τα μηνύματα USSD είναι μικρά (έως 182 χαρακτήρες), αλλά σε αντίθεση με τα μηνύματα κειμένου, μπορούν πραγματικά να ανοίξουν αμφίδρομη σύνδεση δικτύου μεταξύ μιας συσκευής και ενός τελικού σημείου δικτύου, οπότε είναι πιο ανταποκρινόμενα από τα μηνύματα SMS και μπορεί να είναι χρησιμοποιείται για διαδραστικές υπηρεσίες σε πραγματικό χρόνο.

Οι άνθρωποι που βασίζονται σε προπληρωμένες τηλεφωνικές υπηρεσίες έχουν χρησιμοποιήσει πιθανώς υπηρεσίες USSD για να ελέγξουν το υπόλοιπο προπληρωμένου υπολοίπου τους. Για παράδειγμα, οι προπληρωμένοι χρήστες T-Mobile καλούν#999# για να δουν την ισορροπία τους. Αυτό είναι το USSD. Ωστόσο, το USSD μπορεί να υποστηρίξει πιο εξελιγμένες εφαρμογές, όπως υπηρεσίες πληρωμών μέσω κινητών συσκευών - στην πραγματικότητα, αυτός είναι ένας λόγος για τον οποίο ορισμένα αναπτυσσόμενα έθνη είναι περισσότερο μαζί με τις πληρωμές μέσω κινητού από τη Βόρεια Αμερική και την Ευρώπη. Άλλες υπηρεσίες έχουν δημιουργήσει λειτουργίες κοινωνικής δικτύωσης για Twitter, Facebook και άλλες υπηρεσίες κοινωνικής δικτύωσης, αν και αυτές συνήθως εμφανίζονται μόνο σε κινητά τηλέφωνα σε αναδυόμενες αγορές.

Το USSD εφαρμόζεται σε τηλέφωνα GSM (οι τυπικοί χρήστες από εταιρείες όπως η AT&T και η T-Mobile), αλλά αυτό ισχύει δεν εννοείτε ότι είστε απαράδεκτοι εάν χρησιμοποιείτε τηλέφωνο με χειριστή CDMA όπως η Verizon ή η Sprint. Πολλοί κωδικοί USSD ενεργοποιούν ενέργειες στην τοπική συσκευή και κάνουν δεν απαιτούν έναν πάροχο κινητής τηλεφωνίας που υποστηρίζει USSD. Πολλά τηλέφωνα που έχουν δημιουργηθεί για δίκτυα CDMA θα ανταποκρίνονται σε αυτούς τους κωδικούς.

Το USSD είναι, εξ ορισμού, μη δομημένο, πράγμα που σημαίνει ότι τα τηλέφωνα δεν υποστηρίζουν τα ίδια σύνολα κωδικών USSD. Διαφορετικοί κατασκευαστές και φορείς εκμετάλλευσης κινητής τηλεφωνίας ακολούθησαν σε μεγάλο βαθμό τα ένστικτά τους σχετικά με τον τρόπο ανάπτυξης των λειτουργιών και υπηρεσιών USSD. Ένας κωδικός USSD που κάνει ένα πράγμα σε ένα τηλέφωνο Nokia μπορεί να κάνει κάτι άλλο εντελώς σε ένα τηλέφωνο LG - ή καθόλου. Ωστόσο, ένας κοινώς χρησιμοποιούμενος κώδικας είναι *#06#, ο οποίος εμφανίζει συχνά τον μοναδικό αριθμό IMEI (International Mobile Equipment Identity) μιας συσκευής.

Τηλ: μου μια ιστορία

Ravi Borgaonkar (ευπάθεια USSD, Samsung)

Το USSD δεν είναι τίποτα νέο και δεν αποτελεί νέα απειλή για το Android. Αυτό που έδειξε ο Ravi Borgaonkar ήταν ένας εκπληκτικά απλός συνδυασμός κωδικών USSD με το πρωτόκολλο URL «tel:». Έχετε δει πρωτόκολλα διευθύνσεων URL σε πράγματα όπως συνδέσμους Ιστού και διευθύνσεις ηλεκτρονικού ταχυδρομείου - αυτά είναι http: και mailto:, αντίστοιχα. Ωστόσο, υπάρχουν εκατοντάδες άλλα πρωτόκολλα διευθύνσεων URL.

ο τηλ: Το πρωτόκολλο επιτρέπει στους χρήστες να καλούν έναν αριθμό τηλεφώνου από ένα πρόγραμμα περιήγησης στο Web: τηλ: 555-1212 θα πρέπει να συνδέουν τους περισσότερους Αμερικανούς με εθνική βοήθεια καταλόγου, για παράδειγμα. Η επίδειξη του Μπόργκαονkar συνδύασε το τηλ: Σχέδιο διευθύνσεων URL με συγκεκριμένο κωδικό USSD που - το μαντέψατε - μπορεί να πραγματοποιήσει επαναφορά εργοστασιακών ρυθμίσεων ορισμένων συσκευών Android. Ο Borgaonkar το ονόμασε αυτό το εργοστασιακό πρόγραμμα επαναφοράς στο USSD την «τραγωδία της Samsung», εν μέρει επειδή η εφαρμογή της εντολής σκουπίσματος της Samsung δεν συνεπάγεται καμία αλληλεπίδραση με τον χρήστη. Ορισμένες άλλες συσκευές έχουν παρόμοιες εντολές επαναφοράς από το εργοστάσιο, αλλά τουλάχιστον απαιτούν μη αυτόματη επιβεβαίωση από τον χρήστη.

Θεωρητικά, το μόνο που πρέπει να κάνει ένας εισβολέας είναι να ενσωματώσει μια κακόβουλη διεύθυνση URL σε έναν ιστότοπο και οποιαδήποτε ευάλωτη συσκευή που φορτώνει αυτήν τη σελίδα θα επαναφερθεί στις εργοστασιακές προεπιλογές. (Σε ορισμένες περιπτώσεις, αυτό περιλαμβάνει ακόμη και την εξάλειψη της κάρτας SIM.)

Είναι δελεαστικό να πιστεύουμε ότι αυτό είναι απλώς ένα θέμα ευπάθειας με το ενσωματωμένο πρόγραμμα περιήγησης ενός τηλεφώνου, αλλά στην περίπτωση του Android βρίσκεται στην προεπιλεγμένη συσκευή κλήσης Android: Ο Borgaonkar επέδειξε επίσης τρόπους για την εκτέλεση της επαναφοράς USSD χρησιμοποιώντας κωδικούς QR, μηνύματα SMS WAP Push και (σε η περίπτωση του Galaxy S III) ακόμη και μέσω NFC. Δεν χρειάζεται να εμπλέξετε ένα πρόγραμμα περιήγησης. Κάθε εφαρμογή που μπορεί να καλέσει έναν αριθμό σε τηλέφωνο Android μπορεί ενδεχομένως να ενεργοποιήσει μια εντολή USSD.

Όχι το τέλος του κόσμου;

Η ευπάθεια μπορεί να φαίνεται αρκετά τρομερή, αλλά οι Hendrik Pilz και Andreas Marx σε ανεξάρτητη γερμανική εταιρεία ασφάλειας AV-TEST σημειώνουν ότι η ευπάθεια πιθανώς δεν είναι πολύ ελκυστική για τους εγκληματίες στον κυβερνοχώρο.

«Πιστεύουμε ότι η πλειονότητα των συγγραφέων κακόβουλου λογισμικού ενδέχεται να μην ενδιαφέρονται να εκμεταλλευτούν την ευπάθεια, καθώς δεν θα έχει νόημα να σκουπίζουμε ένα τηλέφωνο ή να κλειδώνουμε τους χρήστες», ανέφεραν σε μια δήλωση μέσω email. «Το κακόβουλο λογισμικό προσπαθεί να παραμείνει σιωπηλό στο σύστημά σας, έτσι ώστε η κινητή συσκευή σας να μπορεί να χρησιμοποιηθεί για κάποιες κακόβουλες, πιθανώς εγκληματικές δραστηριότητες. Αυτό θα λειτουργήσει μόνο με λειτουργικά και λειτουργικά συστήματα. "

Είναι το τηλέφωνό σας ευάλωτο;

Sony Xperia P αναθεώρηση δίπλα-δίπλα samsung galaxy s3 τηλέφωνο Android

Μέχρι στιγμής, μόνο επιλεγμένα τηλέφωνα Samsung έχουν αποδειχθεί ότι διαθέτουν κωδικό USSD που εκτελεί επαναφορά εργοστασιακών ρυθμίσεων. Ωστόσο, αυτό δεν σημαίνει τηλέφωνα άλλων προμηθευτών όχι έχουν παρόμοιους κωδικούς που θα μπορούσαν να χρησιμοποιήσουν οι εισβολείς για να σκουπίσουν τηλέφωνα, να προκαλέσουν απώλεια δεδομένων ή ενδεχομένως ακόμη και να εγγραφούν στους χρήστες για ακριβές υπηρεσίες. Αυτό, τελικά, είναι ένα αγαπημένο χόμπι των συγγραφέων κακόβουλου λογισμικού Android.

Δυστυχώς, δεν υπάρχει σίγουρος τρόπος για να προσδιορίσετε εάν ένα τηλέφωνο Android είναι ευάλωτο σε μια επίθεση με βάση το USSD, αλλά οι χρήστες μπορώ Ελέγξτε αν τα dialers τους είναι ευάλωτα.

Οι ακόλουθες συσκευές έχουν επιβεβαιωθεί ότι είναι ευάλωτες στην κλήση κωδικών USSD από μια ιστοσελίδα:

  • HTC Desire HD
  • HTC Desire Z
  • HTC Legend
  • HTC One W
  • HTC One X
  • HTC Sensation (XE) (τρέχει Android 4.0.3)
  • Huawei Ideos
  • Motorola Atrix 4G
  • Ορόσημο Motorola
  • Motorola Razr (τρέχει Android 2.3.6)
  • Samsung Galaxy Ace, Beam και S Advance
  • Samsung Galaxy S2
  • Samsung Galaxy S3 (με Android 4.0.4)

Και πάλι, αυτό συμβαίνει δεν σημαίνει ότι όλες αυτές οι συσκευές μπορούν να σκουπιστούν μέσω USSD. Μέχρι στιγμής, μόνο επιλεγμένα τηλέφωνα Samsung έχουν επιβεβαιωθεί ότι μπορούν να διαγραφούν μέσω εντολής USSD. Πολλές άλλες συσκευές μπορούν να καλέσουν εντολές USSD - και υπάρχουν ακόμη και αναφορές ορισμένες συσκευές που εκτελούν Symbian και το λειτουργικό σύστημα bada της Samsung θα καλέσει εντολές USSD χρησιμοποιώντας τηλ: Διευθύνσεις URL.

Η Borgaonkar προσέφερε μια δοκιμαστική σελίδα που χρησιμοποιεί ένα iframe για να πείσει ένα πρόγραμμα περιήγησης να καλέσει έναν κωδικό USSD - σε αυτήν την περίπτωση, το *#06# που εμφανίζει τον αριθμό IMEI μιας συσκευής:

//www.isk.kth.se/~rbbo/testussd.html

Ο αυτοαναφερόμενος geek Dylan Reeve συνέταξε επίσης μια γρήγορη σελίδα δοκιμής που μπορεί να αποκαλύψει εάν το πρόγραμμα κλήσης Android επεξεργάζεται κωδικούς USSD, χρησιμοποιώντας τον ίδιο *#06# Κωδικός USSD:

//dylanreeve.com/phone.php

Ωστόσο, ο κ. Reeve δεν είναι εμπειρογνώμονας για την ασφάλεια των κινητών συσκευών και, εάν κάποιος ήταν εισβολέας που ήθελε να εκμεταλλευτεί αυτήν την ευπάθεια, η παραβίαση οποιασδήποτε από αυτές τις δοκιμαστικές σελίδες θα ήταν ένας πολύ καλός τρόπος για να προκαλέσει κάποιο χάος.

Πώς να προστατευτείτε

Android 4.1 Jelly Bean

Εάν διαθέτετε τηλέφωνο Samsung - Η Samsung έχει ήδη κυκλοφορήσει μια ενημέρωση υλικολογισμικού που διορθώνει την ευπάθεια. Δεδομένου ότι επιλεγμένα τηλέφωνα Samsung είναι προς το παρόν οι μόνες συσκευές που είναι γνωστό ότι είναι ευαίσθητες σε διαγραφή, συνιστούμε ανεπιφύλακτα στους ιδιοκτήτες της Samsung να εφαρμόσουν την ενημέρωση.

Ενημέρωση Android - Μέχρι στιγμής, δεν υπάρχουν ενδείξεις ότι οι συσκευές που χρησιμοποιούν το Android 4.1 Jelly Bean είναι ευαίσθητες στην ευπάθεια του USSD. Εάν το Jelly Bean έχει διατεθεί για τη συσκευή σας και έχετε αναβάλει την ενημέρωσή σας, τώρα θα ήταν καλή στιγμή. Δυστυχώς, η διαθεσιμότητα του Jelly Bean σε υποστηριζόμενες συσκευές εξαρτάται σε μεγάλο βαθμό από τη διακριτική ευχέρεια των αερομεταφορέων και οι πάροχοι κινητής τηλεφωνίας επιβραδύνουν την πιστοποίηση νέου λογισμικού για τα δίκτυά τους. Πολλές συσκευές ευάλωτες σε πιθανές επιθέσεις USSD δεν θα αναβαθμιστούν ποτέ στο Jelly Bean.

Χρησιμοποιήστε έναν εναλλακτικό επιλογέα - Η ανοιχτή πλατφόρμα του Android μπορεί να προσφέρει μια λύση: Αντί να βασίζονται στο ενσωματωμένο πρόγραμμα κλήσης του Android, οι χρήστες Android μπορούν να εγκαταστήσουν έναν τηλεφωνητή τρίτου μέρους που δεν αφήνει τις εντολές USSD να περάσουν. Ένα αγαπημένο είναι το δωρεάν DialerOne, το οποίο λειτουργεί με Android 2.0 και νεότερο.

Αποκλεισμός tel: URL - Μια άλλη προσέγγιση είναι ο αποκλεισμός της επεξεργασίας του τηλ: Διευθύνσεις URL. Ο Joerg Voss προσφέρει το δωρεάν NoTelURL που ουσιαστικά εμφανίζεται ως dialer: εάν οι χρήστες συναντήσουν ένα τηλ: Διεύθυνση URL (είτε μέσω προγράμματος περιήγησης είτε μέσω σάρωσης κωδικού) θα τους προσφερθεί επιλογή επιλογής κλήσης αντί να γίνει άμεση επεξεργασία.

Δημιουργήστε αντίγραφα ασφαλείας του τηλεφώνου σας - Θα πρέπει να είναι αυτονόητο, αλλά δημιουργείτε αντίγραφα ασφαλείας του τηλεφώνου σας Android (και όλων των επαφών, των φωτογραφιών, των πολυμέσων και των δεδομένων σας) τακτικά, έτσι δεν είναι; Είτε δημιουργείτε αντίγραφα ασφαλείας σε έναν τοπικό υπολογιστή, σε μια υπηρεσία που βασίζεται σε σύννεφο ή χρησιμοποιείτε κάποιο άλλο σχήμα, η τακτική αποθήκευση των δεδομένων σας σε ασφαλή τοποθεσία είναι η καλύτερη προστασία σε περίπτωση που το τηλέφωνό σας σκουπιστεί - για να μην αναφέρουμε την απώλεια ή την κλοπή.

Πρόσφατες δημοσιεύσεις

$config[zx-auto] not found$config[zx-overlay] not found