Mellékleteink: HUP | Gamekapocs
Keres
IoT + VR + AI in da house! >>>> HWSW mobile!, november 29-30!

Cserealkatrészek is lophatnak adatokat a telefonokról

Hlács Ferenc, 2017. augusztus 22. 09:30

Új, hardveres támadást mutattak be biztonsági szakértők, amelyben rosszindulatú cserealkatrészekkel szerezhetnek meg érzékeny adatokat az okostelefonok tulajdonosaitól.

hirdetés

Nem csak a szoftvereknél kell vigyázni a nem hivatalos forrásokkal, ha biztonságban akarjuk tudni okostelefonunkat vagy táblagépünket: a Ben-Gurion Egyetem kutatói által az idei Usenix Workshop on Offensive Technologies konferencián bemutatott tanulmány szerint a külső beszállítóktól származó alkatrészek tartalmazhatnak olyan rosszindulatú hardverelemeket, amelyek titokban gyűjtögetik a felhasználók adatait.

A szakértők több eszközön is demonstrálták, hogy a módosított hardverkomponensekkel többek között észrevétlenül naplózhatók a készüléken végzett billentyűleütések, sőt, a feloldási minták is, de a módszer kártékony appok telepítésére és fényképek készítésére is lehetőséget ad, amelyeket aztán a készülék emailben továbbíthat is a támadóknak. A kutatók speciálisan átalakított kijelzőpanelekkel mutatták be a támadási felületet, egy Nexus 6P és egy LG G Pad 7.0 készüléken - ugyanakkor a szakértők szerint a megoldást iOS platformra is át lehet ültetni.

Az eljárást chip-in-the-middle támadásként is emlegetik, miután ahhoz az egyébként ártalmatlan érintőkijelzőt egy plusz lapkával egészítik ki, amely a hardver és a készülék operációs rendszere közötti kommunikációs busz adatátvitelt figyeli, illetve adott esetben a támadók kódjával toldja meg. Hogy feltűnésmentesen működhessen, a chip képes akár ideiglenesen lekapcsolni is a kijelzőpanelt. Egy hasonló támadás a kutatók szerint minimális költséggel kivitelezhető, a demonstrációnál használt plusz alkatrészekre például alig 10 dollárt költöttek - egész pontosan egy a barkácsolói közösségben is népszerű Arduino fejlesztői lapkát használtak, ATmega328 mikrokontrollerrel a fedélzetén. A megoldás ugyanakkor más hasonló, általános célú chipekkel is végrehajtható, a kártékony alkatrészek pedig könnyen sorozatgyártásba állíthatók.

Noha élesben működő, hasonló támadásról egyelőre nem beszéltek a biztonsági szakértők, hangsúlyozzák, hogy a gyártóknak nagyon is komolyan kell venni az unortodox támadási vektor jelentette kockázatokat, miután egyszerűen és olcsón megvalósítható módszerről van szó. A módosított komponensek ráadásul alig különböznek az eredeti, gyári alkatrészektől, így még a szervizekben dolgozó technikusoknak sem biztos hogy feltűnne, hogy valami nem stimmel az éppen javított telefonba helyezett kijelzővel. A megoldás akár nagyüzemi szinten, akár egy-egy kiszemelt célpont ellen is hatékony lehet.

Egy hasonló támadást az tesz lehetővé, hogy az Apple, Google, illetve a gyártók az operációs rendszerekhez tartozó driverekért házon belül felelnek, miután azok nem külső féltől származnak, lényegében, ahogy az Ars Technica fogalmaz, egy "bizalmi körben" vannak. De ugyanez a helyzet a gyárilag beépített hardverekkel is, amelyeket a cégek alapvetően megbízhatónak tartanak - ez a biztonság azonban rögtön szertefoszlik, ha harmadik féltől származó komponensek kerülnek a telefonokba.

Ennek megfelelően, ahogy azt a szakértők is hangsúlyozzák, a gyártóknak hasonló támadásokra is fel kell készülniük és a potenciálisan kártékony (tehát nem a gyárban beszerelt) hardverek jelentette veszélyt is figyelembe kell venniük a készülékek védvonalainak megtervezésénél. A hasonló kockázatok persze jórészt elkerülhetők ha az ember a gyártói szervizre hagyatkozik probléma esetén, amely saját, megbízható forrásaiból szerzi be a komponenseket, ugyanakkor a már nem garanciális telefonok esetén a felhasználók sokszor fordulnak kétes GSM boltokhoz is, akik jellemzően jóval olcsóbb, utángyártott alkatrészeket kínálnak, akár számottevően kisebb munkadíj mellett.

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.
Idén ismét önálló szekciót kapnak a feltörekvő technológiák a HWSW mobile! konferencián. November 29-30!