211service.com
Hur en webblänk kan ta kontroll över din telefon
En häftig demonstration till ett litet, fullsatt rum på RSA-säkerhetskonferensen idag visade hur att klicka på en enda dålig webblänk medan du använder en telefon som kör Googles Android-operativsystem kan ge en angripare fullständig fjärrkontroll över din telefon. En gång George Kurtz och kollegor från säkerhetsstart CrowdStrike gjordes kunde de spela in telefonsamtal, avlyssna textmeddelanden och spåra den hackade telefonens plats hela tiden.
Vad är allestädes närvarande, har en kamera, en mikrofon, vet var du är hela tiden, är alltid på och lagrar din känsliga information? frågade Kurtz. Den smarta telefonen är det ultimata spionverktyget.
Smarta telefoner har hackats tidigare, men Kurtz sa att detta var den första offentliga demonstrationen av ett heltäckande system som kan ta kontroll över en på distans med bara ett enda klick på en webblänk.
Riktade attacker, utformade för att stjäla immateriell egendom eller värdefull information från företag och deras chefer, har blivit relativt vanliga de senaste åren. Under en tid har säkerhetsexperter varnat för att mobila enheter erbjuder ett sätt att sådana attacker kan bli mer genomgripande och effektiva, och dagens demo ger tyngd åt det fallet.
Kurtz och kollegor spelade upp ett scenario på scenen som innebar att hacka en riktig, omodifierad Android-telefon. Kurtz, som spelar rollen som en upptagen investerare vid ett branschevenemang, fick ett sms som påstod sig vara från sin mobiloperatör och bad honom att ladda ner en uppdatering till sin telefons programvara. När han klickade på länken i det meddelandet kraschade telefonens webbläsare och enheten startade om. När enheten startades om verkade den oförändrad, men en tyst, skadlig app hade installerats som vidarebefordrade alla hans telefonsamtal och textmeddelanden till angriparen, som också kunde spåra hans plats på en karta.
Attacken genomfördes på en enhet som körde 2.2-versionen av Googles Android-operativsystem, även känd som Frozen Yogurt, men den använde sig av buggar i en komponent av Androids webbläsare som också finns i den nyare versionen 2.3, eller Gingerbread. Dessa två versioner av Android står för nästan 90 procent av Android-enheter som används idag, sa Kurtz. Mer betydelsefullt är att WebKit, webbläsarkomponenten som utnyttjades, också är kärnan i webbläsarna som finns i Apples iPhone- och iPad-enheter, BlackBerry-telefoner och Googles TV-enheter.
Angriparna spenderade $1 400 på den svarta marknaden för detaljerna om 14 kända, men inte korrigerade, buggar i WebKit. De utarbetade sedan ett sätt att använda dem för att få full root-åtkomst till en enhet och byggde ett komplett system som skulle använda dessa krafter för att installera ett fjärråtkomstverktyg, eller RAT, app som de hade beslagtagit från Kina-baserade hackare.
Nationsstater som Ryssland och Kina är aktiva i att utveckla RATs, och om vi kan göra [detta] på några veckor, så kan de säkert också det, sa Dmitri Alperovitch, CrowdStrikes tekniska chef. RAT i demon var en konventionell app med förhöjda privilegier som potentiellt skulle kunna upptäckas av säkerhetsappar tillgängliga för Android, sa han, men med mer tid skulle det vara möjligt att använda samma metod för att installera mycket svårupptäckt rootkit programvara som är osynlig för sådana verktyg.
Kurtz försökte avsluta med en positiv ton och sa att himlen inte faller. Det är mycket riktade attacker.
Att förhindra attacker som den som demonstrerades på scenen kräver tätare uppdateringar av mobila operativsystem, sa Kurtz. Men att göra det är långt ifrån lätt, eftersom trådlösa operatörer, tillverkare av enheter och leverantörer av mobila operativsystem måste alla vara inblandade. Som en konsekvens får de flesta mobila enheter idag uppdateringar mycket sällan.