22.07.2014, 11:25
Wiadomo już, że akcelerometr w urządzeniach mobilnych może być nie tylko
Atak dźwiękiem nie jest czymś absolutnie nowym, bo omawiano go we wspomnianym wyżej artykule o atakach m.in. światłem, ale jest obszerną monografią, a jej spore omówienie pojawiło się na Niebezpieczniku, za którym kilka cytatów.
[Aby zobaczyć linki, zarejestruj się tutaj]
, ale i[Aby zobaczyć linki, zarejestruj się tutaj]
...badano i przewidziano też ataki na takie urządzenia również[Aby zobaczyć linki, zarejestruj się tutaj]
...wiadomo też, że możliwe są ataki za pomocą dźwięku, o czym poinformowali w[Aby zobaczyć linki, zarejestruj się tutaj]
naukowcy z The Chinese University of Hong Kong.Atak dźwiękiem nie jest czymś absolutnie nowym, bo omawiano go we wspomnianym wyżej artykule o atakach m.in. światłem, ale jest obszerną monografią, a jej spore omówienie pojawiło się na Niebezpieczniku, za którym kilka cytatów.
Cytat:iPhone ma swoją Siri, a Android korzysta z Google Voice Search (GVS), aplikacji systemowej obecnej także w customowych wersjach Androida. Okazuje się, że GVS można bardzo prosto wykorzystać do obejścia modelu uprawnień na Androidzie, a to pozwala każdej aplikacji m.in. na podsłuchiwanie właściciela smartphona, podszywanie się pod niego lub wykradanie jego danych — oto, na czym polega atak.Całość tu
Nie mam uprawnień, a robię złe rzeczy
Ściągasz niewinną aplikację. Podczas instalacji, aplikacja ta nie prosi o żadne podejrzane uprawnienia. W zasadzie w ogóle nie prosi o jakiekolwiek uprawnienia — nie potrzebuje ich. Tuż po instalacji, aplikacja przystępuje do złośliwych działań; wykradania danych, wykonywania połączeń bez twojej wiedzy, itp. Jak? Wywołuje Google Voice Search (za pomocą API, tzw. “intentu”) …i odgrywa plik dźwiękowy, który zawiera instrukcje dla GVS — instrukcje, których wykonanie samodzielnie przez aplikację wymagałoby posiadania odpowiednich uprawnień.
[Aby zobaczyć linki, zarejestruj się tutaj]
Co więc można zrobić (dzięki GVS) nie mając do tego uprawnień?
Wykonywanie połączeń telefonicznych (można wykorzystać do “podsłuchu”).
Fałszowanie treści SMS-ów i E-maili (nie jest to spoofing — e-maile i SMS-y rzeczywiście wyjdą z prawdziwego konta/numeru ofiary). Oto przykłady komend:
Fałszowanie e-maila:
Email to [nazwa_kontaktu], subject “meeting cancel”, message
“tomorrow’s meeting has been canceled”.
Zapisanie na płatną usługę SMS:
Send SMS to number 1234 “START XYZ”.
Odczytać prywatne dane, np.:
kalendarz:
“What is my next meeting?” ⇒“Your next calendar entry is
tomorrow 10 AM. The tile is “Meet with boss”.”
adres IP:
“What is my IP address?” ⇒ “Your public IP address is
111.222.111.222.”
lokalizację GPS:
“Where is my location?” ⇒ “Here is a map of Brooklyn
District.”
Móc zdalnie sterować Androidem nie mając żadnych uprawnień
(...)
Mam Androida — co robić, jak żyć?
Na atak w zasadzie niepodatni są jedynie ci, którzy na swoim smartphonie mają zainstalowany Cyanogen-Mod, pod warunkiem, że sami ręcznie nie doinstalowali Google Voice Searcha (domyślnie nie jest on instalowany z przyczyn licencyjnych).
Jeśli ofiara blokuje swój telefon kodem (lub gestem) i nie posiada aplikacji Google Search, w której znajduje się błąd pozwalający na wywoływanie głosowych komend nawet przy zablokowanym ekranie, atak będzie znacznie ograniczony — złośliwe komendy mogą zostać odpalone tylko w trakcie korzystania z telefonu, ale wtedy najprawdopodobniej użytkownik usłyszy i zauważy dziwne zachowanie telefonu.
Gorzej jest w przypadku osób, które nie stosują blokady ekranu — badacze sugerują odpalanie ataków ok. godz. 4 nad ranem, kiedy właściciel zapewne śpi i nie usłyszy cichej komendy głosowej (a dodatkowo informują, że można łatwo wykryć nieużywanie telefonu przez ofiarę; aplikacja poza odczytaniem godziny, może bowiem odwołać się do czujnika światła i akcelerometru, sprawdzić czy włączony jest ekran, odczytać zawartość pamięci RAM — i na tej podstawie podjąć decyzję, czy atak zostanie odpalony bo telefon nie jest obecnie używany aktywnie).
Podsumowując: upewnij się, że masz aktywny kod blokady i jeśli nie korzystasz, odinstaluj aplikację Google Search. Powyższe dotyczy tylko i wyłącznie tych języków, które są wspierane pod kątem komend głosowych — polski nie jest (póki co). To chyba pierwszy raz, kiedy należy się cieszyć z traktowania nas jak zacofany kraj.
Więcej uprawnień, więcej możliwości
Atak dodatkowo komplikuje się, jeśli złośliwej aplikacji uda się “wyłudzić” niewinne uprawnienia. Wtedy, za ich pomocą może odpalać tą samą głosową techniką bardziej skomplikowane ataki — np. uprawnienie READ_CONTACTS, READ_CALL_LOG, READ_SMS pozwoli na odczytanie na głos (a zatem nagranie i wytransferowanie) kontaktów, historii połączeń lub SMS-ów.
Wnioski z doświadczenia badaczy są proste — brak uprawnień dla aplikacji nie jest żadną gwarancją bezpieczeństwa. (podkreślenie moje)
[Aby zobaczyć linki, zarejestruj się tutaj]
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"