Mellékleteink: HUP | Gamekapocs
Keres
Július 19-én SYSADMINDAY: egy teljes security meetup, számos szórakoztató program, és Felméri Péter standupja várja az érdeklődőket!

Belpiacos kínai telefon vagy kémprogram-bánya?

Hlács Ferenc, 2014. május 26. 09:54
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

Jóval veszélyesebbek lehetnek a kétes forrásból vásárolt okostelefonok és táblagépek mint gondolnánk. Az idei Ethical Hacking konferencián Kovács Zsombor a Deloitte szakértője egy Kínából behozott, olcsó készüléket mutatott be, amelyet tüzetesebben megvizsgálva hamar kiderült, egy hasonló eszközzel nem csak az érte kifizetett összeget, de személyes adatainkat is kockára tesszük.

hirdetés

A gyanús körülmények között vásárolt okostelefonok, netán táblagépek néha meglepő veszélyeket rejthetnek magukban. Hasonló esetben az ember legtöbbször attól tarthat, hogy a készülékről csak utánzat vagy hogy mire hazaér vele, az felmondja a szolgálatot. Pedig akár ennek éppen az ellenkezője is megtörténhet: azaz a telefon nemcsak működik, de a háttérben még "plusz feladatokat" is elvégez.

"Psszt, nem kell olcsón telefon?"

Ennek egyik érdekes példája a 2014-es Ethical Hacking konferencián került elő. Kovács Zsombor a Deloitte szakértője előadásában egy Kínából - valószínűleg szürke importtal - behozott, belpiacra szánt Samsung Galaxy Grand készüléket vizsgált meg. A készülék gazdája el szerette volna távolítani arról a félig-meddig "barkácsoltnak" tűnő Android rendszert, hogy friss szoftvert húzzon a telefonra. Első útja a Samsung Kieshez, azaz a gyártó hivatalos PC-s szoftveréhez vezetett. Ezzel a programmal telepíthetők a szoftverfrissítések a Samsung androidos okostelefonjaira és táblagépeire, továbbá a fotók és zenék átviteléhez is használható, ha valakinek a hagyományos fájlkezelő nem felelne meg.

Egy Kínában, előadónk szerint vélhetően nem a hivatalos márkaboltban, szokatlanul olcsón vásárolt telefon önmagában is gyanakvásra adhat okot, így aztán nem túl meglepő, hogy azzal a Kies sem tudott mit kezdeni, a program nem ismerte fel Samsung termékként az eszközt. A meglepetést inkább az jelentette, hogy a kütyü nem csak külsőre egyezett meg az eredeti modellel, de annak a felhasználói felülete is a cég TouchWiz UI-jának hű mása volt - bár az, hogy egyes ikonok és menüpontok feliratainak jó része a telefont magyarra állítva továbbra is kínai maradt, adhatott okot némi gyanakvásra.

Utcán árult telefonok

Spyware-bánya?

Így került az eszköz Kovács Zsomborhoz, abban a reményben, hogy ő fel tud rá húzni egy használható ROM-ot, ám a szakértő ehelyett annak "gyári" rendszerét kezdte tanulmányozni, valódi kincsesbányát sejtve benne. A megérzés be is jött, egy-két előre telepített, a telefonnal gyárilag együtt érkező appot felboncolva csapatával kimondottan érdekes eredményeket kaptak, főleg, ahogy azt bizonyára többen kitalálták, az alkalmazásengedélyek terén.

Az egyik ilyen érdekes app az Opera böngészőhöz tartozó "skin pack" volt, amivel testre szabható a szoftver felülete. Persze az alkalmazás valójában ennél jóval többre képes, azt kibontva gyorsan kiderült, hogy akár telefonhívásra, a kapcsolatok listájának olvasására, SMS-küldésre és -olvasásra, de még értesítés nélküli letöltésre és hangrögzítésre is jogosult volt. Hasonló felfedezések a "JJ Lord" névre hallgató játékba belenézve is akadtak, amely ugyancsak képes volt hívásindításra és SMS-küldésre, de akár a helyadatokhoz is hozzáfért, illetve a telefon beállításait is felülírhatta. A készüléken még sok hasonló app, sőt egy saját online alkalmazásbolt is akadt, amelyből további, gyaníthatóan valamilyen hátsó szándékkal rendelkező szoftverek voltak letölthetők.

Használják is az engedélyeket

A szakértők, miután az engedélyeket végignézték, az alkalmazásokat egy emulátorban futtatva folyamatosan kiíratták azok aktuális tevékenységét, így hamar bebizonyosodott, hogy az appok nem félnek használni a képességeiket. A szoftverek nem csak helyadatokat, de olyan érzékeny információkat is továbbítottak az okostelefon származási helyére, mint a legutóbbi kimenő és beérkezett hívások listája, az elmentett telefonszámok és azok tulajdonosaira vonatkozó információk, illetve a készülék IMEI-, illetve IMSI száma. Ezek rendkívül érzékeny adatok, a hívások metainformációi a használatra vonatkozó adatok mind-mind kikerülnek a telefonból - a felhasználónak gyakorlatilag nincs titka a "gyártó" előtt. Hogy mennyire értékesek az adatok? Az NSA híressé vált metaadat-gyűjtése ennek az adathalmaznak csupán töredékét gyűjtötte össze, mégis (jogosan) rendkívüli botrányt okozott.

Érdemes tehát észben tartani, hogy egy-egy a sikátorban kihagyhatatlanul olcsón vásárolt készülékkel nem csak azt kockáztatjuk, hogy az hazaérve nem kapcsol be többé. Egy hasonló, kémprogramokkal rogyásig pakolt telefon hosszú távon jóval többe kerülhet a filléres vételárnál, miután azokkal a rosszindulatú szoftverek gazdái később akár banki információkhoz, illetve különböző személyes adatokhoz is hozzáférhetnek - a hasonló eseteket tehát ha lehet messziről kerüljük, vagy ha mást nem, legalább valamilyen megbízható egyedi ROM-ot telepítsünk a készülékre.

Megérte eljönni

Az idei Ethical Hacking konferencia persze korántsem merült ki ennyiben. Az eseményt Peter Košinár, az ESET szakértőjének angol nyelvű előadása nyitotta, aki a hálózati routerek sebezhetőségeiről és az ellenük intézett potenciális támadásokról beszélt. Őt Veres-Szentkirályi András követte a Silent Signaltól, aki az - etikus - hackerkedést megelőző webes felderítést, illetve az ehhez használt egyik legkedveltebb szoftvert, az OWASP DirBustert és annak néhány hiányosságát mutatta be. A szünet után Bucsay Balázs Ethical Hacking Engineer beszélt a Kerberos hálózati protokoll sebezhetőségéről, amelyet kihasználva, egy behatoló akár 20 évre domain admin jogokat szerezhet az adott rendszerben.

A konferencia résztvevői egy gyorstalpaló oktatás keretében a rootkit-írásba is betekinthettek Zsíros Péter, a NetAcademia oktatójának előadásában. Az ebédszünetet Vízi Linda, a PR-AUDIT ügyvezetőjének prezentációja követte, aki a már említett lehallgatási botrányokról, illetve azok jogi vonatkozásairól beszélt. A közösségi média sebezhetőségei sem maradtak ki, a különböző "social engineering" technikákat Oroszi Eszter, a Grid Consulting senior tanácsadója demonstrálta. Az eseményen Tomcsányi Domonkos IT-biztonsági szakértő rövid időre elindította Magyarország negyedik mobilszolgáltatóját - a nyílt forrású adótorony felépítésének költsége csaknem 3000 forintra rúgott. A konferenciát végül Molnár Gábor a Ukatemi szakembere és JavaScript bűvésztrükkjei zárták, amelyekből kiderült, hogy a technikával nem csak böngészők, de akár PDF olvasók hackelésére is lehetőség van.

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.
A IT-üzemeltetők világnapján egy teljes security meetup, számos szórakoztató program, és Felméri Péter standupja várja az érdeklődőket az Ankertbe.