Dårlig sikkerhedspraksis åbner milliarder af mobiler og biler for hackere

Illustration: Android Logo
Hackere kan signere software til smartphones og sende falske opdateringer ud med malware. To milliarder telefoner er ramt af sårbarheden.

To milliarder mobiltelefoner bruger en teknologi, der gør telefonerne utrolig sårbare for hackere. Det er nemlig muligt for hackere at sende falske softwareopdateringer ud til både Android- og iPhone-enheder og på den måde boltre sig frit på brugernes telefoner. Det skriver Toms Guide.

Sårbarheden blev præsenteret af to sikkerhedsforskere på Blackhat-konferencen i Las Vegas. Der er ikke tale om et decideret sikkerhedshul, men en udbredt dårlig implementering af protokollen Open Mobile Alliance Device Managerment (OMA-DM).

OMA-DM bliver brugt af teleudbydere til at opdatere brugernes telefoner på deres netværk. Mange, der køber telefoner med abonnement, får nemlig ikke softwareopdateringer fra Google eller Apple, men fra netværksudbyderen. Og i de tilfælde bliver OMA-DM-protokollen anvendt til at sende opdateringer ud.

Udbyderne sender opdateringerne ud med en signatur, som er en kombination af en unik id på målets mobiltelefon og et hemmeligt kendetegn eller token i daglig tale. Men mange udbydere bruger den samme hemmelige token til alle opdateringer, og det er her, kæden hopper af.

For hvis en hacker sammenligner opdateringer sendt ud til to telefoner, kan hackeren nemt sortere den unikke id fra. Tilbage står hackeren så med den nu knap så hemmelige token. Nu kan hackeren selv signere software og sende ud til telefonerne.

På den måde kan hackere skaffe sig adgang til private data eller simpelthen lytte med på telefonopkald.

Sårbarheden begrænser sig ikke kun til mobiltelefoner. Mange biler bruger samme opdateringsmetode, og hackere kan med samme metode sende falske opdateringer ud til biler.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (6)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Carsten Olsen

Det ser ud til at være baseband chippen der er under angreb. (I mobil sammenhæng kaldet "modemet"). Løsning: kør uden. (Hvis folk mere har brug for en "tranportabel computer" end en telefon skal de vælge en "Raspberry PI- Agtig" løsning).

Der står i "Toms Guide" at det også er et problem i biler og at problemet kun bliver værre med indførelsen af LTE, hvilket jeg er enig i. Men problemet med LTE, er ikke at det minder om en computer, men derimod at de fleste LTE løsninger har en Baseband-Chip der er håbløs. (proprietær lukket Java-klams, ville blive rejected hvis der var public review på) Kineserne er lysår foran den vestlige verden på dette område (f.eks. LTE uden baseband-chip-klams) (Huawei,ZTE)

  • 1
  • 0
#2 Jakob Damkjær

"Mange der køber telefoner med abonnement får nemlig ikke softwareopdateringer fra Google eller Apple, men fra netværksudbyderen."

Og

"Det er nemlig muligt for hackere at sende falske softwareopdateringer ud til både Android- og iPhone-enheder..."

Kunne version2 evt bakke den der statement op med en referance for iOS ?

For der er aldrig nogensinde kommet en software opdatering til iOS fra en operatør... Og det er kun sprint i USA (en ikke specielt stor operatør der benytter den dumme standart til iPhones og det gør stadig ikke nogen forskel mht at software opdateringer kommer fra Apple).

Der er kommer lidt netværksinstillinger fra teleoperatøren men det er ikke rigtig hvad man vil kalde "software"...

Så måske skulle nogen lære at læse indenad før de sætter iOS og Android i samme båd på den her tur ned af floden sikkerhed...

Fra artiklen der citeres: "(Most iPhones and iPads do not use the standard, except for devices sold by Sprint.)"

Mindre detalje og ovenstående citat er det eneste sted ordet iPad eller iPhone bliver brugt i hele artiklen så det er en lille smult tyndbenet dokumentation for de statements artiklen kommer med...

Rinse repeat and do a god damn better job...

  • 3
  • 2
#3 Carsten Olsen

Kunne version2 evt bakke den der statement op med en referance for iOS ?

Det behøver version2 ikke at gøre, det der er hele "Humlen" i denne diskusion er ikke om hvorvidt IOS/Android er immunt overfor angreb for det er begge systemer.Men faktum er at der sidder en baseband chip imellem IOS/android og Internettet. Det er denne de angriber direkte. Det faktum at de angriber baseband chippen gør også at det er irrelevant om en mobil-udbyder nogensinde har sendt en en opdatering ud. Hvad der derimod er (sikkeheds)relevant er at spørge kan man via mobil-nettet udsende malware som vil blive installeret på telefonen? Svaret er: ja. Hvis du tror at IOS giver dig nogen form for sikkerhed kan de jo f.eks. afbryde for poweren til den(/de) cpu(er) der kører IOS. De kan jo også slette IOS/Android ?

  • 2
  • 0
#4 Jacob Gregers Hansen

@Carsten Olsen: For at angribe baseband chippen har du brug for at kende telefonens ID-token. Den kan du finde ved at aflure udsendte opdateringer fra teleudbyderne og sammenligne to transmissioner, da teleudbyderne er slemme til at bruge samme udbyder-token. Derfor adskiller to images sig kun ved telefonens ID-token.

Det hele kræver dog, at OMA-DM protokollen er blevet benyttet, og der er udsendt opdateringer til telefonen, før du kan aflure og gætte telefonens token (ifølge artiklen). Hvis udbydere ikke udsender nye images til Apple-telefoner, så er det ikke muligt.

Derfor er det vel vigtigt, om det er Apple (der ikke benytter OMA-DM, som jeg forstår det) eller teleudbyderne, der sender opdateringen? Eller forstår jeg det galt?

  • 1
  • 0
#6 Jakob Damkjær

og iOS er stadig kun sårbar hvis det er en sprint telefon... eller hvis man gør noget rigtig dumt...

fra The Registers artikel om emnet...

"Some handsets were worse than others, they found. Android was generally wide open to exploits, as was Blackberry and a host of embedded systems, the conference was told. iOS was a tougher nut to crack – most handsets were immune – but some phones run by Sprint could be accessed wirelessly, and others could be vulnerable if the user is tricked into accepting an update."

http://www.theregister.co.uk/2014/08/08/two_billeeon_mobile_phones_easil...

  • 1
  • 0
Log ind eller Opret konto for at kommentere