Глава германской компании SecurStar заявляет, что его компании удалось найти глобальную уязвимость практически во всех современных мобильных телефонах стандарта GSM. По словам Вилфрида Хафнера, слабое место аппаратов – процедура обработки служебных SMS, позволяющая злоумышленнику получать контроль над телефоном.
В основе описываемой атаки лежит технология обновления и дистанционного управления телефонным аппаратом при помощи так называемых служебных или двоичных SMS. Например, в Германии операторы сотовой связи незаметно для абонентов могут модернизировать ПО телефона, подавая команды с помощью служебных SMS.
За счет того, что телефон не проверяет отправителя таких SMS и, соответственно, не в состоянии отличить оператора сотовой связи от хакера, этот метод, по заявлению г-на Хафнера, могут использовать и злоумышленники.
В частности, дистанционно перепрограммированный телефон может самостоятельно и незаметно для владельца отправлять копии всех SMS на указанный номер, кроме того, злоумышленник может получить доступ к адресной книге или прослушивать разговоры благодаря тайной активации конференц-связи.
По словам г-на Хафнера этой атаке подвержены практически все современные телефоны. В частности, уязвимость была открыта на Siemens C45, а затем перед той же атакой не устояли Symbian-смартфон Nokia N90 и Windows-коммуникатор Qtek. Таким образом, если обеспечить массовую рассылку троянского кода Rexspy, созданного SecurStar, это может означать начало новой эпидемии телефонного вируса.
Но, несмотря на сенсационность заявлений г-на Хафнера, эксперты по информационной безопасности, относятся к ним весьма скептически. В первую очередь, настораживает тот факт, что в демонстрации используются только аппараты SecurStar, а код "вирусного" SMS остается закрытым "из соображений безопасности". Кроме того, пресс-релиз SecurStar, посвященный данной проблеме, фактически представляет собой рекламу продуктов компании, предназначенных для защиты от подобных неприятностей. И это еще больше заставляет усомниться в достоверности данных компании.
Настороженно, но без особых опасений относятся к данной новости и представители ассоциации GSM. Они пока заявляют о том, что у них нет достоверных сведений о том, насколько опасен и существует ли вообще RexSpy. Ассоциация GSM также указывает, что к настоящему моменту нет информации о перехвате персональной информации или разговоров с помощью механизмов, подобных RexSpy.
Кроме того, по мнению экспертов, Вилфред Хафнер не учитывает того факта, что аутентификация источника сервисных SMS мобильным терминалом не так важна, если учесть, что оператор сотовой связи имеет возможность заблокировать все подобные SMS, отправленные, что называется, со стороны.
Но вполне возможно, что зерно истины в словах главы SecurStar все же есть. Косвенно это подтверждается сдержанной реакцией операторов сотовой связи, очевидно, занятых проверкой информации SecurStar. |