Simjacker: взлом телефона через симку

Безопасность 4g: захватываем usb-модем и sim-карту с помощью sms

image

Телеком-операторы активно рекламируют быструю и дешевую 4G-связь. Но насколько она защищена, знают немногие. Экспертам Positive Technologies в процессе исследования безопасности 4G-коммуникаций удалось найти уязвимости в USB-модемах, позволяющие взять под контроль компьютер, к которому подключён модем, а также аккаунт абонента на портале мобильного оператора. Кроме того, атаки на SIM-карту с помощью бинарных SMS позволяют перехватить и расшифровать трафик абонента, либо просто заблокировать заданную «симку».

Доклады по результатам исследования были представлены в ноябре на конференции ZeroNights в Москве (Кирилл Нестеров, Алексей Осипов, Тимур Юнусов) и конференцииPacSec в Токио (Сергей Гордейчик, Александр Зайцев). В этой публикации мы резюмируем основные идеи исследования, в котором также участвовали Дмитрий Скляров, Глеб Грицай, Дмитрий Курбатов, Сергей Пузанков и Павел Новиков.

Несколько слов о целях данной работы. Дело касается не только безопасности модных смартфонов, с помощью которых мы читаем свои френдленты в социальных сетях. Цифровая мобильная связь стандарта GSM используется сейчас во многих критических инфраструктурах, включая промышленные системы управления (SCADA). Другой пример из повседневной жизни, с которым никому не хотелось бы встретиться – это кража денег с банковских счетов. Между тем, многие наверняка видели такие маленькие антенны у банкоматов – здесь тоже GSM:

image

Современный модем для беспроводной связи — это компьютер, на который установлена известная операционная система (обычно Linux или Android) и ряд специальных приложений с достаточно широким и возможностями. В этом программном обеспечении и протоколах передачи данных есть уязвимости, которые уже эксплуатировались в последние годы — например, чтобы разлочить модем и отвязать от оператора. Одним из средств защиты от таких взломов стал перенос многих сервисов на Веб — однако это дало лишь новые возможности для атак.

Для нашего исследования мы взяли шесть различных линеек USB-модемов с 30 различными прошивками. Забегая вперёд — не удалось взломать только три прошивки.

Что удалось сделать с остальными? Для начала идентифицируем «железку». В этом нам помогают документация и поисковые системы. В некоторых случаях Google помогает даже больше – можно сразу найти пароль для telnet-доступа:

image

Однако для внешних коммуникаций нам нужен не telnet, а http. Подключаем модем к компьютеру и изучаем его, как отдельный сетевой узел с веб-приложениями. Находим возможность атаки через браузер (CSRF, XSS, RCE). Таким способом заставляем модем рассказать о себе разные полезные данные:

image

image

Помимо раскрытия данных, на атакованном модеме можно:

Можно развить атаку и дальше — добраться до компьютера, к которому подключён USB-модем. Один из вариантов такой атаки: на захваченный модем устанавливается драйвер USB-клавиатуры, после чего компьютер воспринимает модем как устройство ввода. С этой «мнимой клавиатуры» на компьютер передаётся команда перезагрузки с внешнего диска, роль которого играет всё тот же модем. Таким образом на «материнский» компьютер можно установить bootkit, позволяющий дистанционно управлять компьютером. Как это работает, можно посмотреть на видео:

Читайте про операторов:  В Минобороны разрабатывают смартфон для российских военнослужащих

Лучшее, что может сделать пользователь для защиты от подобных атак — не засовывать что попало в свои USB-порты. Понимая при этом, что к выражению «что попало» относятся даже USB-модемы, которые снаружи кажутся всего лишь маленьким и безобидным устройством связи.

Вторая часть нашего исследования касалась SIM-карт. Тот факт, что сама «симка» тоже является компьютером со своей ОС, файловой системой и многофункциональными приложениями, уже демонстрировали многие другие исследователи. Так, в мае этого года на конференции Positive Hack Days специалист по шифрованию Карстен Ноэль показал, что приложения «симок» (TARS) защищены по-разному. Некоторые можно взломать путём подбора DES-ключей, а некоторые отвечают на внешние команды вообще безо всякой защиты — и рассказывают о себе много лишнего.

Для подбора ключей в нашем исследовании использовался набор программируемых пользователем вентильных матриц (FPGA), которые вошли в моду пару лет назад для майнинга цифровой валюты Bitcoin, а после падения популярности этого развлечения сильно подешевели. Наша плата из восьми модулей *ZTEX 1.15y за 2 тыс. евро считает со скоростью 245.760 Mcrypt/sec, что позволяет подобрать ключ DES за 3 дня.

image

image

После этого мы можем посылать команды известным TAR’ам и управлять ими. В частности, менеджер карты Card manager позволяет нам загрузить на «симку» своё java-приложение.

Другой интересный TAR — это файловая система File system, где хранятся TMSI (идентификатор телефона в мобильной сети) и Kc (ключ шифрования трафика). Доступ к ним позволяет нам с помощью бинарного SMS:

В заключение — простая статистика. В данном исследовании использовалось более ста SIM-карт различных операторов. Описанным уязвимостям подвержены 20% из них, то есть каждая пятая «симка».

При этом едва ли можно дать какие-то советы по защите для конечных пользователей: атаки происходят на довольно низком техническом уровне, поэтому решать вопросы безопасности здесь должны производители SIM-карт и операторы. Западная IT-пресса, кстати, уже описывает данное исследование в новостях как «возможность взлома миллионов SIM-карт и USB-модемов».

P. S. Это было не единственное исследование экспертов Positive Technologies, представленное на ZeroNights’14. На той же конференции Артем Шишкин и Марк Ермолов рассказали о механизмах обхода системы защиты Windows PatchGuard в Windows 8: некоторые детали исследования можно найти здесь, подробности будут представлены в одном из наших следующих постов.

Другие потенциальные атаки типа simjacker

Исследователи отмечают, что злоумышленники использовали далеко не все возможности SIM-карт с S@T Browser. Так, с помощью SMS с командами можно заставить телефон звонить и отправлять сообщения с произвольным текстом на произвольные номера, открывать ссылки в браузере и даже отключать SIM-карту, оставляя жертву без связи.

Читайте про операторов:  Почем связь для народа. Кто из операторов Петербурга самый выгодный? | финансы | деньги | АиФ Санкт-Петербург

Потенциальных сценариев атак с использованием уязвимости очень много: преступники могут переводить деньги при помощи SMS на номер банка, звонить на платные короткие номера, открывать фишинговые страницы в браузере или скачивать трояны.

Главная опасность уязвимости в том, что она не зависит от устройства, в которое вставлена SIM-карта: набор команд STK стандартизован и поддерживается любым телефоном и даже IoT-устройствами с SIM. Некоторые гаджеты для ряда операций вроде совершения вызова запрашивают подтверждение у пользователя, но многие не делают и этого.

Как происходит атака simjacker

Атака начинается с SMS-сообщения, содержащего набор инструкций для симки. Следуя этим инструкциям, она запрашивает у мобильного телефона его серийный номер и идентификатор базовой станции (Cell ID), в зоне действия которой находится абонент, а затем отправляет SMS с этой информацией на номер злоумышленника.

В дальнейшем тот может по Cell ID определить местоположение абонента с относительно небольшой погрешностью в несколько сотен метров: координаты базовых станций доступны в Интернете. На них, в частности, полагаются сервисы для определения местоположения без спутников, например в помещении или при отключенном GPS.

Все манипуляции со взломанной симкой происходят незаметно для пользователя: сообщения с командами и данными о местоположении устройства не отображаются ни во «Входящих», ни в «Отправленных» SMS. Так что жертвы атак Simjacker, скорее всего, даже не знают о том, что за ними следят.

Как реально защитить себя и своих близких?

По возможности устанавливайте такое кодовое слово для проверки через оператора, чтобы оно никак не ассоциировалось с вами (с вашим именем, датой рождения и т.д.) и нигде больше не использовалось. Это поможет вам избежать того, чтобы вы стали жертвой SIM-хайджекинга.

Кибер-преступники могут решить вместо этого атаковать ваш телефон, поэтому наличие на нем эффективного антивируса является дополнительным уровнем безопасности, который хакеры не могут обойти (или им для этого потребуется достаточно много времени). Ну и, конечно, обращайте внимание на вашу электронную почту.

Если в вашем аккаунте происходит какое-то изменение, то вы можете получать подтверждающее письмо об этом. Если вы не знаете, что происходит, или вы не выполняли данную транзакцию, то обязательно позвоните в ту компанию, которая предоставляет вам этот аккаунт (например, онлайн-банк, если на ваше счете какая-то подозрительная активность). Чем быстрее вы позвоните, тем проще будет для вас минимизировать ущерб, нанесенный мошенниками.

Кого затронули атаки simjacker

По данным AdaptiveMobile Security, шпионы отслеживают местоположение граждан нескольких стран. При этом в одной из них ежедневно «пробивается» 100–150 номеров. Почти на половину телефонов запросы отправляются не чаще раза в неделю, однако есть отдельные жертвы, за перемещениями которых следят довольно пристально — эксперты заметили, что некоторым адресатам отправляют несколько сотен вредоносных SMS в неделю.

Читайте про операторов:  Архив рубрик | ITSec.Ru

Можно ли защититься от атаки simjacker?

К сожалению, защититься от атаки на симку пользователь самостоятельно не может. Позаботиться о безопасности своих клиентов должны мобильные операторы. В частности, им стоит отказаться от использования устаревших приложений для SIM-меню, а также блокировать SMS-сообщения, содержащие набор команд.

Есть, однако, и хорошая новость: хотя атака не требует дорогого оборудования, для ее реализации необходимы довольно глубокие познания в технике и специальные навыки. А это значит, что этот метод будет уделом немногих продвинутых взломщиков.

https://www.youtube.com/watch?v=jc3XIWUsSzA

Кроме того, исследователи сообщили об уязвимости разработчику S@T Browser — компании SIMalliance. В ответ она выпустила рекомендации по безопасности для операторов, использующих приложение. Известили об атаках Simjacker и Ассоциацию GSM — международную организацию, представляющую интересы мобильных операторов. Так что можно надеяться, что в ближайшее время компании примут необходимые меры для защиты абонентов.

Некоторые sim-карты можно взломать «за две минуты с помощью пары sms»

Практически каждый телефон использует SIM-карты. Казалось бы, такой распространенный формат должен быть полностью защищен от взлома, однако это не так. Карстен Нол (Karsten Nohl) из Security Research Labs обнаружил дыру в защите SIM-карт.

Отправляя пользователю SMS-сообщение, замаскированное под сообщение от оператора, Карстен в 25% случаев получал в ответ сообщение об ошибке с необходимой для взлома защиты SIM-карты информацией. Зная эти данные, можно отправить второе сообщение, которое откроет доступ к прослушиванию телефонных звонков, отправке сообщений, мобильным покупкам и другим личным данным.

Впрочем, данный алгоритм взлома работает только с SIM-картами, использующими старый стандарт шифрования DES. Использующие более совершенный стандарт Triple DES взлому не подвержены. Сказать точно, сколько примерно SIM-карт могут быть взломаны таким нехитрым способом, сложно, Нол считает, что это примерно 750 миллионов. Ассоциация GSM уже связалась с операторами, чтобы обсудить данную проблему и найти способы защитить пользователей.

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL ENTER.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector