Před nedávnem se naši kolegové ze sesterského webu CSO sešli s bezpečnostními experty ze společnosti Trust Digital, kteří se specializují na mobilní bezpečnost a slíbili předvést, jak snadno hacknout cizí smartphone pouze na základě telefonního čísla. Nevěříte? Ani my jsme nevěřili.
„Všechno, co potřebuji, je vizitka,“ prohlásil Meir Machlin, ředitel produktové architektury v Trust Digital, který měl ukázku na starosti (celý proces můžete shlédnout na videu na stránkách CIO.cz či CSO.com). Pro celé „demo“ postačilo Machlinovi zcela běžné vybavení – hackerská sada sestávala z laptopu s Wi-Fi a ze dvou telefonů, z nichž jeden sloužil jako GSM modem a druhý fungoval jako klasický mobil pro příjem SMS zpráv. Třetí telefon byl pak „obětí“ simulovaného útoku.
Hacknutý smartphone poprvé
První typ předvedeného útoku bývá označován jako „půlnoční nájezd“, protože je obvykle prováděn v noci, kdy lze předpokládat, že majitel telefonu spí a nemá tak nad telefonem (obvykle připojeným k nabíječce) kontrolu. Machlin poslal na cílový telefon jednoduchou SMS, která aktivovala na cílovém zařízení Internet Explorer.
Napoprvé nechal na telefonu pouze zobrazit nápis „Byl jsi hacknut“, aby předvedl, jak snadno lze proniknout do cizího přístroje pouze prostřednictvím SMS. Při druhém pokusu Machlin spustil aplikaci, která již byla schopna číst a odesílat informace. Prostřednictvím SMS tak napadený telefon odeslal své INSI identifikační číslo. Machlin zároveň dodal, že stejně snadno lze přečíst a odeslat kontakty uložené v telefonu, nahrát virus či spustit útok typu DOS.
Hacknutý smartphone podruhé
Při druhé ukázce využil Machlin útoku pomocí nastavovací SMS – s její pomocí lze změnit nastavení zařízení, aniž by o tom uživatel věděl. Ukázal nám, jak snadno lze vypnout SSL a eliminovat tak šifrování. Nakonec poslal příkaz k vymazání, který odstranil z cílového přístroje veškerá data a dodal, že příkaz mazání lze navíc přeposlat na všechna čísla v telefonním seznamu napadeného přístroje. Relativní jednoduchost a úspěšnost útoků podle Machlina ukazuje, že textové zprávy již nelze považovat za bezpečné.
Nový bezpečnostní perimetr
Jaké telefony lze takto napadnout? To záleží především na jejich nastavení (zabezpečení) a způsobu, jakým je lidé používají. Většina prognóz, jako je například ta od analytika Johna Girarda ze společnosti Gartner, v níž předpovídá, že s rostoucím procentem chytrých telefonů v podnicích roste i riziko útoků. „Čím víc se telefon podobá svými možnostmi, výkonem a aplikacemi PC, tím snazší je umístit do něj škodlivý kód,“ zdůrazňuje Girard. Mnohé útoky, které jsme v minulosti vídali na PC, například phishing, se podle něj budou stále častěji objevovat na mobilních platformách. Uživatelé jsou navíc u mobilních zařízení mnohem tolerantnější k občasnému zpomalení či záseku – typickým průvodním jevům nákazy škodlivým kódem.
To představuje velký problém zejména v okamžiku, kdy podniky do mobilních zařízení začnou instalovat programy pro přístup k podnikovým informačním systémům – a tedy k datům, která mohou mít pro útočníky obzvlášť vysokou hodnotu. Doba, kdy bude skutečně možné pracovat na mobilním telefonu, přitom není příliš vzdálená. Firmy by proto před tím, než zařízení nakoupí a umístí na ně jakékoliv citlivé údaje (což mohou být i kontaktní údaje zákazníků či obchodních partnerů), měly zvážit způsoby a úroveň zabezpečení i případné zákonné požadavky, kterým je třeba vyhovět bez ohledu na platformu.
Přirozené bariéry
I když je na místě rozvážné plánování a výběr mobilních platforem s ohledem na bezpečnost, mobilní telefony jsou zatím pro hackery přeci jen tvrdším oříškem než běžná PC.
Na nedávné hackovací soutěži PWN2OWN byla kupříkladu vypsána odměna 10 000 dolarů za úspěšné zcizení dat každého z běžně používaných mobilních chytrých telefonů (iPhone, BlackBerry, Symbian, Windows Mobile), útočníkům se úspěšně podařilo prolomit zabezpečení tří ze čtyř používaných mobilních internetových prohlížečů, na úspěšné zneužití těchto slabin však kupodivu nedošlo.
Většina přítomných bezpečnostních (či nebezpečnostních) expertů se shodla, že v průběhu letošního roku se patrně podaří zbylé bariéry překonat a úspěšně napadnout prostřednictvím prohlížeče všechny mobilní platformy, zároveň ale dodali, že situaci značně ztěžuje skutečnost, že většina operátorů nastavuje telefony odlišně, nebo používá upravené verze firmwaru. Rozdíly jsou navíc i mezi jednotlivými modely (jeden z útoků byl například napsán pro BlackBerry Touch a na přístroji BlackBerry Bold, nefungoval).