Stačí málo a môžu vás odpočúvať. A nič s tým neurobíte
Po napichnutí siete operátora stačí poznať už len číslo účastníka
Chyba v SS7 sa dotýka miliárd mobilných užívateľov, a to nielen tých s chytrými telefónmi. Ako ľahké je pre hackerov zneužitie tejto bezpečnostnej trhliny, sa rozhodla overiť redaktorka CBS News Sharyn Alfonsiová v relácii 60 Minutes.
Oslovila preto Karstena Nohl zo spoločnosti Security Research Labs, držiteľa doktorátu z počítačového inžinierstva na Virgínskej univerzite, podľa ktorého hackerom po preniknutí do systému operátora stačí poznať len telefónne číslo vytipované osoby.
Požiadala ho preto o názornú demonštráciu. Na tento účel tak zakúpila nový iPhone, ktorý následne odoslala kalifornskému kongresmanovi Tedovi Lieu, členovi výboru dohliadajúceho na informačné technológie. Lieu súhlasil s použitím iPhonu na komunikáciu so zamestnancami a dopredu ich informoval o možnom odpočúvaní. A skutočne k nemu došlo.
Nohl a jeho tím dokázali odpočúvať celý telefónny hovor medzi Alfonsiovou a kongresmanom. Okrem toho tiež počas používania iPhonu mali kompletný prehľad o telefónnych číslach ďalších účastníkov hovorov či prehľad o kongresmanově pohybe.
Nohl navyše upozorňuje, že v tomto prípade nepomôže ani vypnutie GPS, telefóny možno totiž sledovať len na základe ich prihlasovania k vysielačom.
{googleads left} Aj cez existujúce bezpečnostnú chybu v sade protokolov SS7 nepovažuje Nohl vzniknutú situáciu za znepokojujúce.
“Útokov na mobilné telefóny pribúda v súvislosti s ich narastajúcim počtom, ale chyba v SS7 nie je spôsob, ktorým väčšina hackerov preniká do vášho telefónu,” uviedol pre reláciu 60 Minutes.
Jeho názor však nezdieľa kongresman Lieu, podľa neho je existencia takejto chyby nesmierne znepokojujúce. V tejto súvislosti pripomenul minuloročný telefonát s prezidentom USA Barackom Obamom. “Diskutovali sme spolu o niektorých problémoch. Takže ak nás odpočúvali hackeri, tak poznajú celý obsah hovoru, “podotkol Lieu.
Nohl navyše podotkol, že možnosť odpočúvanie telefónnych hovorov vďaka chybe v SS7 je u tajných služieb verejným tajomstvom, tie americkej nevynímajúc. Domnieva sa preto, že nebude záujem chybu akokoľvek riešiť. Lieu však takéto počínanie amerických agentúr ostro kritizuje, tolerovanie takejto zraniteľnosti považuje za neprípustné.
“Ľudia, ktorí o tomto nedostatku vedeli, by mali byť vyhodení,” uviedol pre 60 Minutes a dodal: “Nemôžete mať vyše 300 miliónov Američanov a ďalších zahraničných občanov, ktorí sú vystavení riziku odpočúvanie ich telefónov kvôli známej chybe len z dôvodu, že niektoré spravodajské služby takto môžu získať nejaká dôležité dáta. Je to neprijateľné. “
Hackeri poznajú veľa iných spôsobov, ako napichnúť telefón
Príliš pokoja do celej problematiky však nevniesol John Hering, zakladateľ spoločnosti Lookout zaoberajúce sa vývojom bezpečnostného softvéru. Podľa neho je totiž každé zariadenie (smartphone, PC, notebook) bez rozdielu systému napadnuteľné. Stačí vraj len poznať spôsob, ako do takéhoto systému preniknúť.
Hering Alfonsiové demonštroval pomerne jednoduchý spôsob, ako sa dostať k citlivým dátam v telefóne. Skúseným hackerom totiž stačí napichnúť verejnú wi-fi sieť a čakať, až sa k nej vytipované osoba s telefónom pripojí.
Alfonsiová sa teda prihlásila k hotelovej sieti a o pár sekúnd neskôr mal Hering na notebooku kompletný prehľad o jej e-mailovej komunikácii vrátane všetkých prístupových údajov. Okrem toho videl aj telefónne číslo či prehľad kreditných kariet spárovaných s jej účtom.
Hering následne tiež demonštroval, aké ľahké je pre znalých hackermi nainštalovať do telefónu na diaľku škodlivý malware, bez toho aby o tom jeho užívateľ vôbec tušil. Týmto spôsobom tak môžu získať napríklad vzdialený prístup k čelnej kamere a mikrofónu.
Priemerný človek sa však podľa neho nemusí takými útokmi akokoľvek znepokojovať, hackeri sa vraj zameriavajú hlavne na vysoko postavené politiky či šéfmi významných spoločností. Avšak upozorňuje, že žijeme vo svete, v ktorom už technológiám, ktoré používame, nemôžeme natoľko dôverovať.
Chránte sa proti odposluchom aj Vy.
