Кража со «свистком»

Дата публикации: 20.02.2016 00:00
19 916
Время прочтения: 4 минуты
Источник
Banki.ru

Активно пользуетесь USB-модемом, купленным когда-то в фирменном салоне оператора? Добро пожаловать в группу риска. Как показывают исследования, проведенные отечественными и зарубежными компаниями, работающими в сфере информационной безопасности, практически все устройства такого рода содержат критические уязвимости.

Большинство таких гаджетов — брендированные устройства, приобрести которые можно в салонах связи. Разумеется, сами сотовые операторы их не выпускают, а заказывают у таких производителей, как ZTE и Huawei. Большая часть устройств на рынке — производства этих компаний.

Несмотря на планомерный спад, количество проданных модемов остается довольно впечатляющим. В начале 2015 года розничная сеть «Связной» сообщала о полумиллионе проданных гаджетов. Сколько в данный момент таких устройств находится на руках у пользователей — сказать сложно.

Отвечая на вопрос Банки.ру, представитель торговой сети упомянул о падении спроса на них, в связи с изменениями на рынке: «В большинстве своем USB-модемы используются с ноутбуками, продажи которых падают – например, по итогам девяти месяцев 2015 года они снизились почти на 40%, примерно до 2 миллионов проданных устройств. За то же время в России продано в два раза больше планшетов, чем ноутбуков. И это при падении на рынке планшетных ПК не менее чем на треть в штуках».

Что происходит?

Проблема кроется в ненадежно защищенной микропрограмме устройства. Специалисты по информационной безопасности обнаружили, что взломать ее не составляет труда. Еще более удручает то, что при тестировании разных USB-модемов взлому не поддались единицы.

Как происходит взлом подобных устройств, наглядно продемонстрировали на конференции по компьютерной безопасности ZeroNights 2015 в конце прошлого года: в режиме реального времени был получен доступ к скрытым возможностям гаджета. Определить «операторскую принадлежность» модема было невозможно, но, по словам докладчика, уязвимости подвержены практически все «свистки» (именно так называются USB-модемы на профессиональном сленге).

Самое «безобидное», что может случиться в результате такой атаки, — в руках злоумышленника окажутся данные о вашем местоположении, появится возможность отслеживать ваши перемещения. Что гораздо хуже, злоумышленник может изменить настройки устройства и либо перехватывать весь трафик жертвы, либо подменить адреса некоторых сайтов. Это может привести, например, к краже платежной информации.

Еще одна возможность, которая открывается перед злоумышленником, — оформление на жертву платной подписки. Поэтому если вы обнаружили, что со счета модема начали списываться деньги в адрес непонятного сервис-провайдера, то не стоит винить во всем оператора связи. Возможно, ваше устройство связи просто взломали.

Вполне реален и уж совсем, казалось бы, невероятный сценарий атаки, при его выполнении злоумышленник может получить доступ к компьютеру, в который вставлен модем. Принцип довольно прост: на захваченный модем устанавливается драйвер устройства ввода, после чего гаджет воспринимается компьютером как подключенная клавиатура. После этого с помощью «нового устройства» на компьютер устанавливается вредоносное ПО.

Реализовать такой вариант гораздо сложнее. Однако в случае целенаправленного взлома такую возможность исключать нельзя. Вполне реален и сценарий, когда устройство модифицируется непосредственно в торговой точке перед продажей.

Надо сказать, что проблема не нова. Уязвимость микропрограмм модемов была обнаружена специалистами в сфере информационной безопасности еще в конце 2014 года. По их словам, они обращались как к самим операторам, так и непосредственно к производителям модемов. Однако реакцию и тех, и других можно назвать замедленной.

Кроме всего прочего, «жизненный цикл» USB-модема гораздо дольше, чем, например, смартфона. Единожды купив устройство, владелец может не менять его несколько лет. А производитель, как и сотовый оператор, под чьим брендом продается устройство, может в один прекрасный момент прекратить поддержку старого гаджета.

Косвенное подтверждение этому можно получить, проверив версии прошивок на сайте оператора. В одном из случаев мы выяснили, что среди доступных для скачивания обновлений для актуальных устройств только одно из них датировано прошлым годом. А самая свежая версия прошивки для гаджетов, отправленных в «архив», была выпущена в 2014 году.

Что делать

Как следует из отчета компании Positive Technology, наиболее защищенными устройствами на данный момент являются модемы производства Huawei. Кроме этого, отмечают специалисты, эта компания единственная не позволяет вносить серьезные модификации в прошивку устройства – допускается только изменение интерфейса. Это весьма важный момент: по результатам того же отчета, часть уязвимостей появляется вследствие модификации микропрограммы телеком-провайдером.

Защитить себя от подобного рода взлома можно, обновив прошивку гаджета. Однако если в новых модемах есть возможность произвести эту процедуру практически в автоматическом режиме, щелкнув по паре кнопок в настройках, то старые модели такой функциональности не имеют. Поэтому обновляться придется вручную, скачивая файл обновления самостоятельно. Если же новой версии прошивки для вашего устройства нет, наиболее оптимальный вариант – приобрести новое, уточнив у продавца о наличии функции автоматического обновления.

Павел ШОШИН, Banki.ru

Читать в Telegram
telegram icon

Комментарии

0
Скрыть
Комментарии могут оставлять только зарегистрированные пользователи.

<skip>...наиболее защищенными устройствами на данный момент являются модемы производства Huawei. Кроме этого, отмечают специалисты, эта компания единственная... <skip>

все - ради этой фразы, да?
20

denisska
20.02.2016 07:30
Почему на фото совсем не USB модем?
6

swifft
20.02.2016 08:47
ну клево конечно
но становится очень интересно, посколько IP у свистка фиктивный
то явно хак происходит из внутренний сетки сотового оператора
( я сейчас оставляю за кадром какого чертапочему маршрутизация так настроена что позволяет посылать запросы на соединения от одного клиента к другому)
посколько явно злоумышленник не знает у кого свисток
то ему надо перебирать IP адреса своей подсетки в надежде найти этот самый свисток
и получается что админы видя такую странную активность курят бамбук нечего не предпринимая
получается очень много ограничений для хакера как мне кажется
6

Dimitr
20.02.2016 12:23
Павел, почему предпочитаете обновление практически в автоматическом режиме?

Мария (фейри) пишет:
все - ради этой фразы, да?

http://www.securitylab.ru/news/474039.php
http://www.securitylab.ru/news/474707.php

Если кому интересно, по этой печальной теме:
http://www.securitylab.ru/news/463532.php
http://www.securitylab.ru/news/454289.php
http://www.securitylab.ru/analytics/462147.php
http://www.cnews.ru/news/top/rossijskie_issledovateli_bezopasnost
http://dsec.ru/ipm-research-center/research/the_security_of_subscriber_s_telecommunications_network_equipment/
http://news.softodrom.ru/ap/b23700.shtml
http://www.ptsecurity.ru/research/analytics/
1

phazon.ya.ru
20.02.2016 20:02
Мне кажется в последнее время Банки.ру вообще ударились в паранойю. Уязвимостью пытаются объявить все подряд, в том числе и штатный механизм обновления прошивок. Наинает напоминат риторику некоторых производителей смартфонов, которые специально "залочивают" свои телефоны поясняя это "заботой о пользователе".
1

Обучение

Материалы по теме