Belpiacos kínai telefon vagy kémprogram-bánya?
Jóval veszélyesebbek lehetnek a kétes forrásból vásárolt okostelefonok és táblagépek mint gondolnánk. Az idei Ethical Hacking konferencián Kovács Zsombor a Deloitte szakértője egy Kínából behozott, olcsó készüléket mutatott be, amelyet tüzetesebben megvizsgálva hamar kiderült, egy hasonló eszközzel nem csak az érte kifizetett összeget, de személyes adatainkat is kockára tesszük.
A gyanús körülmények között vásárolt okostelefonok, netán táblagépek néha meglepő veszélyeket rejthetnek magukban. Hasonló esetben az ember legtöbbször attól tarthat, hogy a készülékről csak utánzat vagy hogy mire hazaér vele, az felmondja a szolgálatot. Pedig akár ennek éppen az ellenkezője is megtörténhet: azaz a telefon nemcsak működik, de a háttérben még "plusz feladatokat" is elvégez.
"Psszt, nem kell olcsón telefon?"
Ennek egyik érdekes példája a 2014-es Ethical Hacking konferencián került elő. Kovács Zsombor a Deloitte szakértője előadásában egy Kínából - valószínűleg szürke importtal - behozott, belpiacra szánt Samsung Galaxy Grand készüléket vizsgált meg. A készülék gazdája el szerette volna távolítani arról a félig-meddig "barkácsoltnak" tűnő Android rendszert, hogy friss szoftvert húzzon a telefonra. Első útja a Samsung Kieshez, azaz a gyártó hivatalos PC-s szoftveréhez vezetett. Ezzel a programmal telepíthetők a szoftverfrissítések a Samsung androidos okostelefonjaira és táblagépeire, továbbá a fotók és zenék átviteléhez is használható, ha valakinek a hagyományos fájlkezelő nem felelne meg.
Egy Kínában, előadónk szerint vélhetően nem a hivatalos márkaboltban, szokatlanul olcsón vásárolt telefon önmagában is gyanakvásra adhat okot, így aztán nem túl meglepő, hogy azzal a Kies sem tudott mit kezdeni, a program nem ismerte fel Samsung termékként az eszközt. A meglepetést inkább az jelentette, hogy a kütyü nem csak külsőre egyezett meg az eredeti modellel, de annak a felhasználói felülete is a cég TouchWiz UI-jának hű mása volt - bár az, hogy egyes ikonok és menüpontok feliratainak jó része a telefont magyarra állítva továbbra is kínai maradt, adhatott okot némi gyanakvásra.
Utcán árult telefonok
Spyware-bánya?
Így került az eszköz Kovács Zsomborhoz, abban a reményben, hogy ő fel tud rá húzni egy használható ROM-ot, ám a szakértő ehelyett annak "gyári" rendszerét kezdte tanulmányozni, valódi kincsesbányát sejtve benne. A megérzés be is jött, egy-két előre telepített, a telefonnal gyárilag együtt érkező appot felboncolva csapatával kimondottan érdekes eredményeket kaptak, főleg, ahogy azt bizonyára többen kitalálták, az alkalmazásengedélyek terén.
Ünnepi mix a bértranszparenciától a kódoló vezetőkig Négy IT karrierrel kapcsolatos, érdekes témát csomagoltunk a karácsonyfa alá.
Az egyik ilyen érdekes app az Opera böngészőhöz tartozó "skin pack" volt, amivel testre szabható a szoftver felülete. Persze az alkalmazás valójában ennél jóval többre képes, azt kibontva gyorsan kiderült, hogy akár telefonhívásra, a kapcsolatok listájának olvasására, SMS-küldésre és -olvasásra, de még értesítés nélküli letöltésre és hangrögzítésre is jogosult volt. Hasonló felfedezések a "JJ Lord" névre hallgató játékba belenézve is akadtak, amely ugyancsak képes volt hívásindításra és SMS-küldésre, de akár a helyadatokhoz is hozzáfért, illetve a telefon beállításait is felülírhatta. A készüléken még sok hasonló app, sőt egy saját online alkalmazásbolt is akadt, amelyből további, gyaníthatóan valamilyen hátsó szándékkal rendelkező szoftverek voltak letölthetők.
Használják is az engedélyeket
A szakértők, miután az engedélyeket végignézték, az alkalmazásokat egy emulátorban futtatva folyamatosan kiíratták azok aktuális tevékenységét, így hamar bebizonyosodott, hogy az appok nem félnek használni a képességeiket. A szoftverek nem csak helyadatokat, de olyan érzékeny információkat is továbbítottak az okostelefon származási helyére, mint a legutóbbi kimenő és beérkezett hívások listája, az elmentett telefonszámok és azok tulajdonosaira vonatkozó információk, illetve a készülék IMEI-, illetve IMSI száma. Ezek rendkívül érzékeny adatok, a hívások metainformációi a használatra vonatkozó adatok mind-mind kikerülnek a telefonból - a felhasználónak gyakorlatilag nincs titka a "gyártó" előtt. Hogy mennyire értékesek az adatok? Az NSA híressé vált metaadat-gyűjtése ennek az adathalmaznak csupán töredékét gyűjtötte össze, mégis (jogosan) rendkívüli botrányt okozott.
Érdemes tehát észben tartani, hogy egy-egy a sikátorban kihagyhatatlanul olcsón vásárolt készülékkel nem csak azt kockáztatjuk, hogy az hazaérve nem kapcsol be többé. Egy hasonló, kémprogramokkal rogyásig pakolt telefon hosszú távon jóval többe kerülhet a filléres vételárnál, miután azokkal a rosszindulatú szoftverek gazdái később akár banki információkhoz, illetve különböző személyes adatokhoz is hozzáférhetnek - a hasonló eseteket tehát ha lehet messziről kerüljük, vagy ha mást nem, legalább valamilyen megbízható egyedi ROM-ot telepítsünk a készülékre.
Megérte eljönni
Az idei Ethical Hacking konferencia persze korántsem merült ki ennyiben. Az eseményt Peter Košinár, az ESET szakértőjének angol nyelvű előadása nyitotta, aki a hálózati routerek sebezhetőségeiről és az ellenük intézett potenciális támadásokról beszélt. Őt Veres-Szentkirályi András követte a Silent Signaltól, aki az - etikus - hackerkedést megelőző webes felderítést, illetve az ehhez használt egyik legkedveltebb szoftvert, az OWASP DirBustert és annak néhány hiányosságát mutatta be. A szünet után Bucsay Balázs Ethical Hacking Engineer beszélt a Kerberos hálózati protokoll sebezhetőségéről, amelyet kihasználva, egy behatoló akár 20 évre domain admin jogokat szerezhet az adott rendszerben.
A konferencia résztvevői egy gyorstalpaló oktatás keretében a rootkit-írásba is betekinthettek Zsíros Péter, a NetAcademia oktatójának előadásában. Az ebédszünetet Vízi Linda, a PR-AUDIT ügyvezetőjének prezentációja követte, aki a már említett lehallgatási botrányokról, illetve azok jogi vonatkozásairól beszélt. A közösségi média sebezhetőségei sem maradtak ki, a különböző "social engineering" technikákat Oroszi Eszter, a Grid Consulting senior tanácsadója demonstrálta. Az eseményen Tomcsányi Domonkos IT-biztonsági szakértő rövid időre elindította Magyarország negyedik mobilszolgáltatóját - a nyílt forrású adótorony felépítésének költsége csaknem 3000 forintra rúgott. A konferenciát végül Molnár Gábor a Ukatemi szakembere és JavaScript bűvésztrükkjei zárták, amelyekből kiderült, hogy a technikával nem csak böngészők, de akár PDF olvasók hackelésére is lehetőség van.