Klasický deň a normálne používanie telefónu. O nejakej hrozbe prelomenia jeho bezpečnosti zrejme nikto aktívne neuvažuje. V zásade si ani neuvedomíme, že by sme mohli čeliť riziku prekonania vlastnej mobilnej bezpečnosti a mnohým sa to nikdy ani nestane. Sú však testy v podobe súťaží hackerov, ktoré sa nám snažia dokazovať opak a prezentujú, ako veľmi sme s našimi telefónmi zraniteľní. Je to však reálna hrozba?
Známy Mobile Pwn2Own opäť úradoval
Súťaž Pwn2Own sledujem približne päť rokov. No jej história siaha ďalej, prvý ročník sa konal už v roku 2007, čiže teraz bolo malé jubileum. Podstatou akcie je prelomenie alebo ohrozenie bezpečnosti telefónu, pričom na stole je Android a iOS. Medzi Android telefónmi bol teraz podrobený skúške Samsung Galaxy S8 a Huawei Mate 9 Pro. Podľa pravidiel súťaže sa celé hackovanie zameriava na celkovo tri hlavné oblasti. Tá prvá sa sústreďuje na útok, kedy sa do telefónu má hacker dostať cez bezdrôtové technológie, ako je WiFi, Bluetooth alebo tiež mobilná sieť, prípadne NFC. Potom nasleduje testovanie bezpečnosti webového prehliadača, vstavaných aplikácií na posielanie správ (SMS alebo MMS) a tiež odkazov cez e-mail. A nakoniec číslo tri, ktoré je vyhradené aplikáciám tretích strán a ich bezpečnosti.
V zásade je najviac zaujímavý tretí balík. Buďme preto úprimní, ak sa človek chová normálne a neotvorí neznámy e-mail a to nehovorím o odkaze v ňom, nemá dôvod sa obávať že sa cez takéto spôsoby dostane niekto do jeho telefónu a k jeho údajom. Pri WiFi platí niečo obdobné, neznáme a bezplatné siete nepôsobia dôveryhodne, aj keď treba pripustiť, že útok môže prísť aj cez WiFi v obchodnom dome, kde sa človek v kaviarni pripojí na internet. Útok cez mobilnú sieť je už problematický a ťažko sa naň odpovedá. Podľa mňa však ostáva najviac nebezpečná tretia kategória, kde si nainštalujeme aplikáciu a cez ňu sa útočník dostáva do telefónu, ani o tom nevieme.
Ako obstál Android od Samsungu a Huawei
Začnime testom bezpečnosti založenom na mobilnej sieti. Huawei Mate 9 bol prelomený útokom, ktorý dokázal nasimulovať prítomnosť novej mobilnej siete a telefón sa k nej automaticky pripojil. Napriek tomu, že k úniku údajov neprišlo, útok bol zameraný iba na demonštráciu, že dokáže prinútiť telefón pripojiť k inej sieti, ktorá v skutočnosti ani mobilnou sieťou nie je. Toto je vcelku sofistikovaný spôsob, majiteľ telefónu, ak má telefón vo vrecku alebo v taške nič netuší. Indikovať útok môže fakt, že príde o mobilné dáta alebo sa stane nedostupný jeho signál.
K testu na Huawei iba dodám, že napríklad na iPhone sa na infikovanie telefónu postačilo pripojiť k jeho zapnutej WiFi a tým prišlo zo strany hackera k ovládnutiu telefónu a jeho trvalému znefunkčneniu. Tím hackerov využil štyri chyby, aby iPhone získal pod kontrolu.
Ovládnutie alebo skôr infikovanie telefónu cez mobilnú sieť je špecifické, nie tak bežné. Použitie WiFi alebo bluetooth sa už vyskytuje častejšie a to aj vďaka tomu, že útočník po prelomení ochrany telefónu má možnosť ho infikovať aj trvalo a teda ovládnuť. Aj keď to demonštrácia pri útoku na Huawei a jeho mobilnú sieť nedokázala, bude iba otázkou času, kedy sa to podarí. Útok na internetový prehliadač je tiež vcelku bežný spôsob, ktorý sa nepovažuje za výnimočný. Je iba na útočníkovi, či sa mu podarí využiť chyby, ktoré musí najskôr v bezpečnosti nájsť. Pri testovaní na Samusngu Galaxy S8 sa našlo celkom jedenásť chýb a prelomenie bezpečnosti a teda útok na Galaxy S8 bol úspešný cez jeho vlastný webový prehliadač.
Na margo prítomných Android zariadení sa vyhol útok Google Pixel, avšak z dôvodu, že sa o to nikto ani nepokúsil. Prítomné Android telefóny sa vždy aktualizujú na poslednú verziu, ktorá je pre nich k dispozícii, všetko s cieľom, aby sa overili postupy a ukázala bezpečnosť na tom systéme, ktorý práve výrobca dodal na stiahnutie. Zaujímavé je, že okrem nezáujmu o Google telefón sa nestretlo s aktivitou ani hackovanie cez SMS správy, MMS správy alebo NFC. Pri tom NFC to však trochu poopravím, útok na Huawei prebehol, avšak nedopadol pozitívne pre tím, ktorý sa o to pokúšal. Nedokázali totiž telefón v určenom čase ovládnuť.
Má takéto testovanie prepojenie s realitou?
Myšlienka, ktorá má napadá už viac rokov, vždy keď vidím výsledky súťaže Pwn2Own. Môže sa to vlastne stať v bežnom živote? Táto súťaž totiž vyzerá ako laboratórium a testovanie v ňom. Každý tím má dispozícii viacero notebookov, prípravu a testovanie na konkrétnom zariadení. Boli by schopný napadnúť a infikovať telefón kdekoľvek na ulici, v kaviarni alebo na inom verejnom mieste? Pri viacerých útokoch zrejme obtiažne, no najviac sa mi zdá zraniteľné, aj podľa jednoduchosti s akou sa to každý rok demonštruje, WiFi. To je technológia, ktorú má každý, využíva sa aktívne a nezabezpečených sietí, ku ktorým sa človek pripojuje bez rozmyslu, je veľa.
Zvyšné formy (snáď okrem inštalácie programov, ktoré už v sebe infikovanie obsahujú) sú už tak sofistikované a špecifické, že sa jednak nedajú aplikovať hocikde v kaviarni a nie vždy sa nimi dá dostať k údajom na telefóne. Samotné infikovanie telefónu alebo znefunkčnenie je cieľ, ktorý môže byť skôr „zábavou“, ako reálnou hrozbou pre únik dát. Aspoň tak to vyzerá po desiatich rokoch aktívneho súťaženia v hackovaní na Pwn2Own. Týmto rozhodne nesmerujem k podceňovaniu bezpečnosti. Ak majiteľ smartfónu nebude opatrný pri týchto formách, aj keď ich reálnu hrozbu nemusí pociťovať, potom pri oveľa bežnejších veciach (zadávanie kódov a PIN) ostražitosť tiež nemusí dodržať. A to už problém spôsobiť môže.
