Co by było, gdyby Twój telefon sam, bez informowania Cię o tym, zaczął nagle dzwonić, wysyłać wiadomości, przeglądać strony internetowe? Grupa badaczy z francuskiej agencji rządowej ds. bezpieczeństwa systemów informatycznych ANSSI pokazała jak można wykorzystać sygnał radiowy do przejęcia kontroli nad telefonem z odległości ok. 5 metrów.
Badacze odkryli sposób, który pozwala hakerom na wykonywanie wielu różnych czynności na telefonie ofiary z aplikacją wirtualnego asystenta: Siri (dla Apple iOS) lub Google Now (dla Androida). A wszystko to bez wypowiadania nawet jednego słowa!
Do przeprowadzenia ataku potrzebne są:
- iPhone lub telefon z Androidem z aplikacją wirtualnego asystenta. Dostęp do Siri z poziomu ekranu (ta opcja jest domyślnie ustawiona w iPhone)
- Zestaw słuchawkowy z podłączonymi do telefonu słuchawkami
- Nadajnik radiowy
Jak wygląda taki atak?
Nadajnik radiowy wysyła fale radiowe, które po cichu wydają polecenia głosowe do iPhona lub telefonu z Androidem, które mają włączone aplikacje Siri lub Google Now. Kable słuchawkowe działają jak antena radiowa i mogą być wykorzystane do swoistego oszukania telefonu, żeby uwierzył, że polecenia głosowe pochodzą z mikrofonu użytkownika.
Mając dostęp do telefonu i kontrolę nad nim, haker może przeprowadzić teraz wiele innych „czynności”, np.
- zadzwonić,
- wysłać wiadomość,
- przekształcić telefon ofiary w urządzenie podsłuchowe,
- przeglądać strony zainfekowane złośliwym oprogramowaniem,
- rozsyłać spam i wiadomości typu phishing przy użyciu e-maila, Facebooka czy Twittera.
Przykładowy atak może wyglądać w następujący sposób:
Możemy wyobrazić sobie działania hakerów w miejscu, gdzie jest duże skupisko ludzi: bar, poczekalnia czy lotnisko. Wysłanie fale elektromagnetycznych do wielu smartfonów może sprawić, że zaczną one dzwonić na płatne numery generując im przychód i jednocześnie narażając właścicieli urządzeń na duże straty.
Najmniejsza potrzebna odległość do przeprowadzenia ataku to niecałe 2 metry (6,5 stopy). Atak można przeprowadzić maksymalnie z odległości 16 stóp, ale to wymaga już posiadania dużych baterii, (mogą się one zmieścić np. w samochodzie).
Poniższy film przedstawia tego typu atak. Badacze wysłali do Google Now polecenie wejścia na stronę internetową agencji ANSSI.
Bardzo dobry blog! Dużo ciekawych i praktycznych porad!?