Ce informatii ai pe cartea ta de vizita? Numele companiei? Da. Numele tau si functia? Da. Adresa? Da. Numarul de telefon mobil? Asteapta putin.

Am stat de curand de vorba cu Trusted Digital, o companie care se specializeaza in securitata mobila, pentru a vedea cum poti sa preiei controlul unui smartphone fara a detine doar un numar de telefon.

Nu am nevoie decat de o carte de vizita, a declarat Meir Machlin, directorul arhitecturii produselor la Trust Digital, care a facut demonstratia (Poti urmari cele doua demonstratii in engleza urmarind acest link).

Cum sa hackuiesti un smartphone, prima parte

Machlin ne-a aratat doua hack-uri simple ce folosesc unelte aflate la dispozitia oricui. Kitul pentru hacking al lui Machlin este format dintr-un laptop cu conexiune Wi-Fi si doua telefoane. Un telefon este folosit ca modem GSM pentru laptop, iar celalalt telefon este telefonul personal al lui Machlin pe care l-a folosit pentru a primi informatii. Un al treilea telefon a fost tinta atacurilor.

Primul atac urmarit este cunoscut sub numele de Midnight Raid, datorita faptului ca este folosit in timpul noptii, cand utilizatorul telefonului doarme si dispozitivul este inca pornit.

Machlin a trimis un SMS simplu care a invocat Internet Explorer pe telefonul atacat. In primul atac Machlin a trimis o imagine catre dispozitivul atacat care spunea Ai fost hackuit pentru a demonstra cat de usor si simplu este sa intri in telefonul altcuiva doar cu un SMS. In cel de-al doilea atac, Machlin a rulat o aplicatie care putea prelua date de pe telefonul atacat. SMS-ul s-a intors la Machlin cu numarul INSI (numarul de autentificare al telefonului in reteaua GSM, stocat in SIM-ul acestuia) al dispozitivului atacat. Totusi, Machlin a declarat ca ar fi putut la fel de usor sa fure lista de contacte. El a spus ca este posibil, in acest scenariu, sa trimiti virusi catre telefon sau chiar sa initiezi un atac de tip DoS.

Cum sa hackuiesti un smartphone, partea a doua

In cea de-a doua demonstratie, Machlin a folosit un atac prin mesaje de control. In acet tip de hack, atacatorul poate sa schimbe setarile de control ale unui dispozitiv fara stiinta utilizatorului. Ne-a aratat cum putem sa dezactivam cu usurinta SSL, lasand dispozitivul vulnerabil, fara nici un fel de criptare. La final, a comandat stergerea tuturor informatiilor stocate in dispozitiv. Comanda de stergere, a declarat Machlin, poate fi expediata catre toate persoanele aflate in lista de contacte.

Atacurile, conform lui Machlin, au demonstart ca mesajele text nu mai pot fi considerate sigure. Toate aceste hack-uri pot avea ca tinta doar smartphone-urile, deoarece PC-urile nu au capabilitati SMS, a declarat acesta.

Ce tip de smartphone-uri sunt vulnerabile in fata acetui tip de atacuri? Acest lucru variaza in functie de setarile de securitate folosite de dispozitiv. Unii sunt de parere ca dispozitivele mobile nu ridica riscuri de securitate prea mari. Insa, telefoanele ce folosesc sistemul de operare Windows Mobile, precum cel folosit in demonstratie, sunt mult mai vulnerabile.

Machlin ne-a sfatuit ca toate smartphone-urile care se afla sau controlul organizatiilor sa fie monitorizate cu atentie, patch-uite si updatate in mod regulat.

Tipii de la IT trebuie sa controleze telefoanele si sa le securizeze. Acestia trebuie sa fie intodeauna inaintea amenintarilor si sa aduca patch-urile disponibile.