Крађа података из мобилног
На скорашњем саветовању у Амстердаму, посвећеном рачунарској безбедности, истраживачи су обелоданили да су осмислили начин како да преотму податке из мобилних телефона и оне послате овим справама. Напад се може искористити за сакупљање лозинки или убацивање злонамерних програмчића (софтвер).
Мобилни телефони постају све важнији у преношењу података: осим за разговарање, све се више користе за осетљиве делатности попут бежичног плаћања (mobile banking), претраживање на Интернету и преузимање игрица.
Нови вид упада ослања сена протокол који омогућава мобилним оператерима да уређају пруже одговарајуће подешавање за слање података текстуалном поруком, наглашавају Роберто Гасира, Кристофаро Муне и Роберто Пичирило из италијанске „Мобилне безбедносне лабораторије”. Опонашањем ове текстуалне поруке нападач може направити сопствено подешавање за жртвину направу. А то би му омогућило да, на пример, преусмери податке послате са телефона преко сервера који то контролише.
Дотични стручњаци кажу да би техника требало да ради на сваком мобилном телефону који подржава тај протокол, под условом да насртљивац зна коју мрежу жртва користи и да мрежа не блокира ову врсту поруке. Нешто лукавства је, ипак, потребно да би напад успео. Обично, да би на даљину пребацио подешавања на уређај, мобилни оператер прво ће послати текстуалну поруку која садржи PIN (лични број распознавања) кôд. Оператер ће потом послати поруку да изврши реконфигурацију телефона. Да би инсталирао нова подешавања, корисник прво мора унети PIN.
Тако би нападач морао да убеди жртву да унесе PIN и прихвати послато злонамерно подешавање. Тројица Италијана, међутим, верују да то не би требало да буде сувише тешко. Злонамерник би могао послати текстуалну поруку са имена као што је „провајдер услуга” или „конфигурација поруке”, наводећи да су промене подешавања на уређају потребне због грешке на мрежи. За многе мобилне телефоне, истичу они, резултати конфигурације нису кориснику приказани, што жртви даје мале шансе да примети да нешто није у реду.
Чим је справа подешена тако да преусмерава податке кроз нападачев сервер, то би могло открити корисникове лозинке или „колачиће” (cookies). Италијански истраживачи тврде да би било могуће и то да настрљивац додаје нежељени садржај, попут непожељених реклама, на веб странице које корисник прегледа на својем телефону. Комбиновањем ове технике са другим слабостима могао би, чак, да употреби мобилни уређај да се окоми на изворе (ресурсе) које су иначе заштићени у оквиру преносне мреже.
Дејвид Вагнер, професор информатике на Калифорнијском универзитету у Берклију који је проучава бежичну безбедност, упозорава да се мора више порадити на препознавању услова потребних да се искористи ова слабост и утврђивању колико је појава раширена. „У научном чланку сам видео неколико опомена које су у мојој глави побудиле питања колико би ова рањивост погодила потрошаче, чак и да ли се може искористити”, наглашава он. Нарочито остаје нејасно могу ли једни мобилни провајдери да онемогуће лажне поруке или да ли би други спречили нападача у преусмеравању саобраћаја на Интернету.
Истраживачи из Италије обзнањују да би мобилни оператори могли предупредити напад применом одговарајућих мера сигурности. На пример, могли би вребати текстуалне поруке које показују наговештаје конфигурационог протокола и проверавати да ли оне потичу из овлашћеног извора. Друге мере, попут показивања кориснику како му је уређај подешен или праћења саобраћаја на Интернету, такође би могле помоћи.
Најважније је да се напад може извести на, заиста, великом броју мобилних мрежа и телефона!
Подели ову вест
Комeнтар успeшно додат!
Ваш комeнтар ћe бити видљив чим га администратор одобри.


