ИНФОРМАЦИОННЫЙ ПОРТАЛ
Ваш путеводитель в мире IRC и ИТ-технологий!

Мир IT стремительно меняется, следите за новинками в сфере IT вместе с нами. Главные новости и события мира информационных технологий, обзоры гаджетов и софта, мнения экспертов о новинках - на нашем сайте.

 

ЭКСПЕРТНОЕ МНЕНИЕ

СОИБ. АНАЛИЗ. МОБИЛЬНАЯ ОПАСНОСТЬ

25 Ноября 2013

По информации блога http://sborisov.blogspot.ru/

 

Про угрозы и проблемы мобильной безопасности говорят на каждой конференции. Несмотря на это мобильные устройства обзаводятся всё большими возможностями, а средствами защиты далеко не всегда.

 

Для того чтобы отказаться от какой-то мобильной возможности риски должны быть достаточно высоки и их нужно осознавать. А можно и не отказываться, если принять подходящие меры защиты. 

 

В этот статье предположим, что произошел несанкционированный доступ к вашему устройству и ещё раз пройдемся по наиболее опасным рискам.

 

Несанкционированный доступ произошел по одному из трех сценариев (их вероятность достаточно большая, чтобы сказать что с каждым мобильным устройством произойдет как минимум 1 из этих сценариев):

·        Устройство потеряно/украдено

·        Пользователь самостоятельно установил вредоносное ПО (по ошибке или в результате обмана)

·        Вредоносное ПО установлено в результате эксплуатации уязвимости в системном или прикладном ПО

 

Начнем с персональных рисков:

P1. Вы лишитесь  денег на личном счету у оператора связи.  Для начала это будут прямые переводы между номерами (но, как правило, есть суточные лимиты, например 3000 руб.). POC =

 

Далее  могут совершаться звонки на платные телефоны или загрузка платного контента со своих же ресурсов, оплата каких либо услуг  или даже перевод на другой банковский счет (POC = https://oplata.megafon.ru/order/1767781) пока ваш счет не опустеет.


Р2. Если вы пользуетесь “Интернет банком” со своего мобильного устройства, то ваш возможный ущерб равен сумме на вашем счету. Простенького кейлогера достаточно чтобы перехватить логин и пароль (POC = http://www.android-keylogger.net/).  Большинство интернет банков если использует усиленную аутентификацию платежей, то по SMS-сообщению, которое придет на то же мобильное устройство/ или OTP приложение на том же мобильном устройстве.

Если вы пользуетесь “Мобильным банком, с управлением через SMS), то не потребуется даже кейлогера. Для перевода на другой счет в том же сбербанке достаточно будет отправить SMSPOC =

 

А можно по SMS перевести и на карту любого банка. POC  =



P3. Вы можете потерять даже больше средств, чем у вас есть на данный момент.

Для этого придумана услуга автоплатеж. Если вы уже подключили себе эту услугу у мобильного оператора или пользовались интернет банком, то злоумышленник так-же воспользуется этой услугой и подключит свои 10 номеров с правилом перечислить 10000 руб. если баланс телефона опустится ниже 10000 руб. Как только вы разблокируете свой счет/карту после инцидента и получите очередную зряплату с вашего счета продолжат уходить деньги.

POC =

 

 

 

А ещё мобильные операторы придумали личные кабинеты  и различные сервисы (POC = https://oplata.megafon.ru/) которые будут захвачены в момент несанкционированного доступа к телефону. Если вы ещё пользовались этими сервисами, то первый пароль придет по SMS. Если вы уже пользовались сервисом, то новый пароль так-же будет сброшен по SMSPOC =

 

 

 

Если после инцидента, вы забудете перехватить какой-то из сервисов, то злоумышленник продолжит снимать деньги и наносить ущерб. Кроме вывода денег личный кабинет дает ещё следующие интересные возможности:

·        переадресация входящих вызовов

 

·        отправка SMS от имени пользователя

 

 

 

И конечно злоумышленник отключит все уведомления пользователя, отключит проверку защитного кода. Не забудьте всё это включить. POC =

 

 

Р4. Если вы вводили реквизиты банковской карты со своего мобильного устройства, то вашими средствами будут пользоваться и после инцидента. Пока вы не уничтожите или перевыпустите банковскую карту.

 

Даже если банковскую карту вы уничтожили сразу после инцидента, деньги могут продолжать убывать. Например, при бронировании гостиницы онлайн указывает номер банковской карты, а деньги  списываются не сразу, а после оказания услуг. Таким образом, счет пользователя может уйти в глубокий минус.


P5. Вы потеряете данные и доступ ко всем популярным персональным приложениям, которыми пользовались с мобильного устройства - Электронная почта, соцсети, службы мгновенных сообщений, облачные хранилища файлов, фотографий, электронные деньги и кошельки, аукционы, службы бронирования, службы доставки, онлайн игры и т.п. Потеряете даже доступ к госуслугам. POC =

 

А всё почему? Потому, что все сервисы позволяют сменить пароль, используя электронную почту или sms на телефон. В редких случаях нужна  почта и SMS одновременно. Но на вашем мобильном устройстве как раз установлен автоматический вход в вашу почту и на него же приходят SMS.

 

Самые хитрые злоумышленники потом продадут вам доступ к вашим персональным приложениям. POC = http://www.cnews.ru/top/2013/11/20/ostanovleny_hakery_vymogavshie_dengi_za_razblokirovku_vkontakte_i_odnoklassnikov_550482

 

P6. Вы потеряете данные и доступ ко всем данным, хранящимся локально на мобильном устройстве. А это контакты, история смс, фото, видео, записки, календарь, локальные документы.

Причем самые хитрые злоумышленники зашифруют все ваши данные и потом будут продавать доступ к ним.

POC = http://www.esetnod32.ru/company/press/center/eset-preduprezhdaet-o-trekhkratnom-vspleske-aktivnosti-vymogatelya-filecoder/

 

P6. Если вредоносное ПО будет скрытным, то какое-то время вы будете отдавать персональные данные злоумышленнику:   а именно -  информацию о местонахождении (небольшой автоматический анализ выявит ваш адрес работы, дома и других часто посещаемых мест), любой вводимый текст, содержание звонков, запись с звука микрофона, фото и видео с мобильного устройства в любой момент.

POC = http://www.spy-soft.net/phone-control-android/

 

Это все персональные риски, которые мне удалось осознать. Возможно, я что-то упустил? Тогда поправьте. Про корпоративные риски в следующей статье.

 

Так-же мне интересует, какие риски лично для вас будут неприемлемыми и остановят Вас от использования какого-то сервиса?   Электрошоковый удар? Потеря авто/недвижимости? Условный срок  за участие в DDoS атаке?


PS: Интересно будет послушать на Антифрод Раша 2013 как предлагается уменьшать эти риски.

PPS: Proof-of-concept

 


ЕЩЕ ПО ТЕМЕ:

ЯБЛОЧНЫЙ ЦОД: КАК APPLE ЗАСТАВИЛА ВСЕХ ИСПОЛЬЗОВАТЬ MAC MINI

11.12.2013

С тех пор как мы в последний раз касались темы Apple в корпоративном мире, произошло немало интересного. Нет, компания из Купертино не выпустила серию специальных продуктов под лейблом Enterprise и даже не представила специальный лэптоп, идеально подходящий для корпоративных пользователей (хотя MacBook Air часто называют «менеджерским» устройством). Но, видно, такая уж судьба у Apple — практически ничего не делать для корпоративного рынка, однако постоянно на нём присутствовать.

ПИРАТЫ ВЗЛОМАЛИ КОНСОЛЬНУЮ ВЕРСИЮ CALL OF DUTY: GHOSTS

5.11.2013

Пираты взломали консольную версию Call of Duty: Ghosts. Как и в ситуации с консольным эксклюзивом, игрой Grand Theft Auto V, первыми доступ к шутеру Call of Duty: Ghosts получили не заплатившие геймеры, а пираты. В данном случае речь идет о версии для Xbox 360, а также для PlayStation 3; PC-версия пока осталась нетронутой (на торрентах присутствует невзломанный дистрибутив игры). Информация о взломе была опубликована на сайте NeoGAF и в Twitter

ACER ПЕРВЫМ ВЫПУСТИТ СМАРТФОН С КАМЕРОЙ 4K

2.09.2013

Acer уже сделал себе имя на рынке ноутбуков, однако в индустрии смартфонов эта компания пока еще не попала в первый эшелон....

«ДОМ В ОГНЕ»: ЧТО СПАСАТЬ, КОГДА ГОРИШЬ

4.12.2013

Что вытащить из огня, если вдруг пожар – что-нибудь практичное, ценное или памятное? Сайт Theburninghouse подкинет идею, и даже не одну.