Naše pohľady sa v poslednom čase upierajú na vládne agentúry a ich snahu dostať sa do našich mobilných zariadení, ktoré formujú zrejme najlepší zdroj osobných informácií každého človeka. Experti na zabezpečenie však objavili, že takéto zadné dvierka obsahuje obrovské množstvo smartfónov nielen, so systémom Android. V nebezpečenstve majú byť až dve miliardy smartfónov.
Mathew Solnik a Marc Blanchou z bezpečnostnej firmy Accuvant prezentovali túto závažnú chybu účastníkom konferencie Black Hat v Las Vegas. Problém leží podľa ich slov v protokole Open Mobile Alliance Device Management (OMA-DM), ktorý využíva väčšina svetových výrobcov smartfónov pre šírenie aktualizácií softvéru alebo na správu siete oeprátormi. Zistili, že útočník potrebuje pre vzdialený prístup do mobilného telefónu IMEI číslo a tajný token.
Získať tieto údaje nie je podľa Solnika a Blanchoua vlastne tak ťažké. Tento typ útoku dokonca predviedli priamo na konferencii, kde sa im podarilo získať prístup k 70 zariadeniam účastníkov za pomoci prenosnej stanice. Prístup získali k zariadeniam s Androidom, BlackBerry a malému počtu iOS smartfónov s verziou staršou, ako 7.0.4. Niektoré smartfóny sú na tom horšie, než ostatné. Podľa tejto dvojice sú najhoršie zabezpečenými smartfónmi HTC One M7 a BlackBerry Z10. Smartfóny s Windows Phone zatiaľ testované neboli.
Solnika a Blanchou boli schopní vďaka vlastnej základňovej stanici nahrať na smartfóny kód, ktorý získal plný prístup do smartfónu. Na videu nižšie si môžete pozrieť, ako sa im podarilo prekonať heslom uzamknutú obrazovku len za krátku chvíľku. Takýmto spôsobom dokážu získať kontakty, môžu meniť nastavenia systému, vypnúť/zapnúť Bluetooth, fotoaparát alebo iné súčasti. Niektoré smartfóny dokážu dokonca na diaľku vymazať.
Odborníci tvrdia, že nič nenasvedčuje tomu, že niekto zatiaľ zneužil túto formu zraniteľnosti. Vydaná bola údajne aj oprava, ktorá rieši tento problém. Záleží však na operátoroch, aby ju prijali a vykonali patričné opatrenia k zamedzení tohto bezpečnostného problému.
Zdroj: wired, theregister
