Любой GSM-телефон можно взломать через SMS

≡ Безопасность | Новости | 31.07.2009 16:08

"Хороший хакер" Чарли Миллер (Charlie Miller) продемонстрировал на конференции Black Hat взлом смартфона посредством отправки на него SMS-сообщения, содержащего команды управления. Хотя ранее в связи таким взломом речь шла только об "айфонах", другие телефоны также могут быть уязвимыми к аналогичным атакам, сообщает BusinessWeek.

"Эта проблема является системной, — говорит Миллер. — Она связана с тем фактом, что телефоны должны принимать текстовые сообщения и что они всегда должны обрабатывать данные, которые с ними поступают".

Уязвимость позволяет злоумышленнику протолкнуть на смартфон любой исполняемый код. Журналистка CNET News Элинор Миллз (Elinor Mills) убедилась в этом на практике: пока она брала интервью у Миллера, его напарник Коллин Муллинер (Collin Mulliner) отправил на её iPhone сообщение, которое вырубило аппарат. Через несколько секунд тот проявил признаки жизни, но не мог ни звонить, ни принимать звонки, до тех пор пока не был перезагружен.

"Перезагрузка [после атаки] была бы неплохой идеей, — отмечает Миллер. — Она бы остановила любого хакера, кроме разве что наиболее продвинутых. Однако кража всех ваших личных данных из устройства занимает какую-то секунду, а как только вы включаете телефон, плохой парень может атаковать вас снова. Вот почему я думаю, что это так серьёзно".

Миллер уже сообщал об этой "дыре" в Apple и надеется, что местные спецы вовсю трудятся над заплаткой. Помимо того, что уязвимость могут прикрыть разработчики мобильных ОС (такие как Apple, Microsoft или Google), эффективные действия по блокировке атакующих SMS-ок могут быть предприняты и поставщиками мобильной связи. Миллер говорит, что связывался по этому вопросу с AT&T, однако так и не получил от них ответа.

Напомним, что похожие атаки несколько месяцев назад демонстрировала компания Trust Digital.

На Black Hat была также представлена другая техника атак с использованием сообщений, правда не SMS, а MMS, пишет Wired. Исследователи Зэйн Лэки (Zane Lackey) и Луис Мирас (Luis Miras) продемонстрировали, как можно подделать заголовок в сообщении таким образом, чтобы получатель думал, что оно пришло от оператора связи. В сообщениях, присланных из якобы доверенного источника, можно, например, рассылать ссылки на вредоносные сайты.

Подделать можно также дату и время отправки сообщений или указать "пустого" отправителя. Отмечается, что разные модели телефонов могут по-разному реагировать на такого рода атаки.

Лэки и Мирас в настоящее время общаются с производителями телефонов и мобильными операторами по вопросу решения данной проблемы.

комментарии(3) |

разделы: Новости | Безопасность

Материалы по теме

iPhone можно взломать с помощью SMS
Смартфоны легко взламываются с помощью SMS
Пара хакеров легально заработала $20000 за один день
Миллионы "Нокий" можно взломать гиперссылкой