Компания Trust Digital, специализирующаяся на киберзащите мобильных устройств, наглядно продемонстрировала возможность проведения хакерских атак на смартфоны с помощью отправки на них SMS-сообщений, сообщает CNET News.
Первый тип атаки, который показан в
демонстрационном видеоролике, удобнее всего проводить в ночное время, когда человек, в отличие от своего телефона, спит. Злоумышленник отправляет на этот аппарат SMS-ку, после чего тот автоматически запускает браузер со ссылкой на вредоносный веб-сайт, откуда в телефон тут же загружается некая программа.
В примере эта программа отправила SMS-сообщение на другой смартфон, однако на практике она может сделать что угодно, например, считать из памяти устройства конфиденциальную информацию или же сделать его частью мобильного ботнета.
Второй тип атаки ещё интереснее, поскольку здесь используется управляющее сообщение — SMS-ка, с помощью которой изменяются настройки целевого аппарата. На
выложенном на YouTube видео зрителю предлагается вообразить себя в кафе с точкой доступа, пользующимся своим смартфоном для работы в Интернете.
Наиболее безопасный вариант, когда WiFi-соединение между телефоном и точкой доступа шифруется, оказывается бессилен перед управляющей SMS-кой, которая легко отключает SSL-шифрование, причём без каких-либо внешних проявлений. После этого хакер просто тихонько перехватывает радиосигнал, выдёргивая оттуда полезные для него данные — логины и пароли к почте, каким-то веб-сервисам или даже онлайн-банкингу.
Как видим, обе продемонстрированные атаки не требуют непосредственного участия пользователя-жертвы, что делает их особенно опасными. К сожалению, в Trust Digital не уточняют, какие именно аппараты и мобильные операционные системы подвержены такого рода атакам и спасают ли от них какие-либо штатные средства или обновления безопасности. Единственное, что можно сказать наверняка, это то, что целевой смартфон, присутствующих на обоих роликах, работает под управлением Windows Mobile, а браузер, использованный в первой атаке, — это Internet Explorer.
Радует, что практическое воплощение обеих атак принадлежит "хорошим парням" из секьюрной компании, однако до них рано или поздно могут додуматься и злоумышленники.
"Это абсолютно реальная угроза, — говорит Филипп Уинтроп из Strategy Analytics. — Мы ещё увидим эти атаки. Это лишь вопрос времени".
Разумеется, в Trust Digital уже разработали и защиту от этих атак, которая включена в ПО Enterprise Mobility Management 8.0. Странно только, что специалисты этой компании не участвовали в последнем конкурсе хакеров Pwn2Own, где никто так и не сумел заломать ни один смартфон.
Жизнь Енота
