A 3G és a 4G USB modemek biztonsági fenyegetést jelentenek, a kutató szerint

A 3G és 4G USB modemek túlnyomó többségét a mobilszolgáltatók az ügyfeleiknek adják ki. két biztonsági kutató szerint Oroszországból.

A kutatók Nikita Tarakanov és Oleg Kupreev elemezték az orosz szolgáltatóknak az elmúlt hónapokban beszerzett 3G / 4G USB modemek biztonságát. Megállapításainkat csütörtökön bemutatták a Black Hat Europe 2013 biztonsági konferenciáján Amszterdamban.

A legtöbb 3G / 4G modemet Oroszországban, Európában és valószínűleg máshol a világon a kínai hardvergyártók gyártják a Huawei és a ZTE. a mobilszolgáltatók logóit és védjegyeit, mondta Tarakanov. Ezért, még ha a kutatást elsősorban az orosz szolgáltatók Huawei modemjein végezték, az eredményeknek a világ más részein is relevánsaknak kell lenniük.

[További olvasnivalók: Hogyan távolítsuk el a rosszindulatú programokat a Windows számítógépről]

Tarakanov elmondta, hogy nem tudták tesztelni a modemeken található Qualcomm chipeket a baseband-támadásokkal szemben, mert Oroszországban illegális a saját GSM bázisállomás működtetése, ha nem vagy hírszerző ügynökség vagy távközlési szolgáltató. "Valószínűleg néhány hónapon át más országba kell költöznünk" - mondta.

Még mindig sokat kell vizsgálni a hardver biztonságát illetően. Például a sok modemben használt SoC (chipen működő rendszer) olyan Bluetooth képességgel rendelkezik, amely le van tiltva a firmware-ről, de lehet, hogy lehetővé teszi azt, mondta a kutató.

Most a kutatók tesztelték a szoftvert előre telepítve a modemeken, és megtámadta a támadások többféle módját, vagy a támadások használatát.

Az egyik számára egyszerűen készíthet képeket az USB modem fájlrendszeréről, módosítsa és újra írja a modembe. Van egy eszköz a Huawei-től a modemes mentéshez és visszaállításhoz, de vannak olyan ingyenes eszközök is, amelyek más modemeket támogatnak. "

A számítógépen futó rosszindulatú programok észlelhetik az aktív 3G modem modelljét és változatát. írjon egy képet rosszindulatú testreszabásokkal az ilyen eszközök használatával. Ez a modem ezáltal kompromisszumra fogja hozni minden olyan számítógépet, amelyet használ.

A modem tartalmazza a számítógépre telepített alkalmazás telepítőjét, valamint a különböző operációs rendszerekhez szükséges illesztőprogramokat. Az alkalmazás lehetővé teszi a felhasználó számára, hogy megállítsa, elindítsa és kezelje a modemen keresztül létesített internetkapcsolatot.

A telepített alkalmazás konfigurációs fájljai, valamint a modemben tárolt alkalmazásinstallerek konfigurációs fájljai egyszerű szöveges formában könnyen módosítható. A konfigurációs fájlok egyik beállítása meghatározza, hogy a modem milyen DNS-kiszolgálókat kell használni az internetkapcsolathoz.

A támadó módosíthatja ezeket a bejegyzéseket a támadó által vezérelt szerverekhez, mondta Tarakanov. Ez lehetővé tenné a támadó számára, hogy a felhasználókat a rosszindulatú weboldalakra irányítsa, amikor megpróbálják meglátogatni a legitimeket a modemkapcsolat használatával.

Míg az alkalmazás telepítője nem módosítható közvetlenül a rosszindulatú programok betöltésére, mert aláírt végrehajtható fájl, néhány olyan konfigurációs fájl, amely erre a célra felhasználható.

Számos konfigurációs fájl például vírusvédelmi telepítõk számára elérhetõ utakat és egy opciót, hogy telepítsék-e ezeket a programokat, vagy sem, Tarakanov mondta. A kutató azt mondta, hogy soha nem találta meg a tesztelt USB modemekkel szállított vírusvédelmi telepítőt, de a szolgáltatás ott volt.

A támadó egy módosított konfigurációs fájllal létrehozott egyéni képet hozhat létre, amely lehetővé teszi ezt a funkciót, és egy rosszindulatú fájlt telepít a modem a víruskereső program helyett. Ha a kép USB-modemre van írva, minden alkalommal, amikor a felhasználó telepíti a modemes alkalmazást, a rosszindulatú programokat is telepítenék, mondta Tarakanov.

A kutatók egy lehetséges tömeges támadót is találtak. A számítógépen történő telepítés után a modemalkalmazás - legalábbis a Huawei-től - rendszeresen ellenőrzi a frissítéseket egy szerverről, mondta Tarakanov. Szoftver márkanévvel egy adott operátor keresője számára az adott operátor saját kiszolgálói könyvtárában történő frissítésekhez.

A támadó, aki sikeresen kompromittálta ezt a frissítő szervert, tömeges támadást indíthat számos operátor felhasználója ellen, mondta Tarakanov. A különböző Huawei 3G modemek ugyanazt a kiszolgálót használják, de más országokban más frissítési szerverek is lehetnek.

Tarakanov elmondta, hogy nem keresett sérülékenységet az operációs rendszerben telepített tényleges modemes illesztőprogramokban, de arra számít, hogy sérülékenysége van. A harmadik féltől származó gépjárművezetők túlnyomó többségének sebezhetőségei vannak, mondta.

Tarakanov specializálódott a Windows kernel módú illesztőprogramjainak kizsákmányolására és a sebezhetőségek felkutatására. Mindazonáltal Oleg Kupreev volt a vezetője a 3G / 4G modemekkel kapcsolatos konkrét kutatási projekt számára.

A kutatás ezen a területen éppen az elején van, és további kutatásokról van szó, mondta Tarakanov. Valakinek ezt kell tennie, mert sok új laptop jön a 3G / 4G modemekkel, amelyeket közvetlenül építettek be, és az emberek tudják, hogy biztonsági fenyegetés.