19/10/2015

Απομακρυσμένος έλεγχος συσκευών μέσω ραδιοκυμάτων

Οι José Lopes Esteves και Chaouki Kasmi, δύο ερευνητές ασφαλείας του Anssi (Agence Nationale de la Sécurité des Systèmes d’Information), έναν γαλλικό εθνικό οργανισμό αφιερωμένο στην IT ασφάλεια, έχουν δημιουργήσει μια ειδική κατασκευή που αποτελείται από μια κεραία, ένα USRP ραδιόφωνο, έναν ενισχυτή και ένα laptop που τρέχει το GNU Radio λογισμικό. Αυτή η κατασκευή είναι σε θέση να στείλει τα ραδιοκύματα σε ένα iPhone ή ένα Android με τα ακουστικά ακόμα επάνω του, χρησιμοποιώντας το καλώδιο των ακουστικών ως κεραία που ανιχνεύει τα ραδιοκύματα και τα αναμεταδίδει στο λογισμικό αναγνώρισης φωνής του λειτουργικού συστήματος. Εφαρμόζοντας αυτή την απλή μέθοδο, οι χάκερς θα είναι σε θέση σιωπηρά να αναγκάσουν το τηλέφωνο να πραγματοποιεί κακόβουλες ενέργειες, όλα με την προϋπόθεση ότι ο χρήστης δεν κοιτάζει την οθόνη του, ενώ αυτό συμβαίνει. Οτιδήποτε επιτρέπεται να κάνουν τα Siri και Google Now, οι βοηθοί φωνής για iOS και Android αντίστοιχα, μπορεί να τα κάνει και ο χάκερ. Αυτό περιλαμβάνει την αποστολή κειμένων, πραγματοποίηση τηλεφωνικών κλήσεων, άνοιγμα των ιστοσελίδων, εγκατάσταση εφαρμογών και ούτω καθεξής.

Ωστόσο, υπάρχουν κάποιοι περιορισμοί σε αυτήν την επίθεση όπως έχετε ήδη ενδεχομένως φανταστεί.
- Πρώτα απ’ όλα, λειτουργεί μόνο μόνο όταν είναι συνδεδεμένα τα ακουστικά στη συσκευή και τα ακουστικά έχουν ενσωματωμένο μικρόφωνο δηλαδή δεν είναι απλά για να ακούει κανείς μουσική.
- Δεύτερον, η κατασκευή είναι αρκετά ογκώδης και έχει μειωμένη εμβέλεια επίθεσης. Εάν ο εισβολέας θέλει να χρησιμοποιήσει μια μικρή κατασκευή, τότε δεν θα είναι σε θέση να φθάσει τηλέφωνα σε απόσταση μεγαλύτερη των 2 μέτρων. Αν θέλει να χρησιμοποιήσει ολόκληρη την κατασκευή, τότε θα χρειαστεί ένα αυτοκίνητο για να την κρύψει και να τη μετακινήσετε, όμως σε αυτή την περίπτωση, θα είναι σε θέση να τη χρησιμοποιήσει σε μια απόσταση των 5 μέτρων. Μπορείτε να δείτε πόσο μεγάλη είναι η κεραία σε αυτό το βίντεο: https://www.youtube.com/watch?v=LDAZHmj6wns
- Η επίθεση δεν θα λειτουργήσει για τις εκδόσεις Google Now και Siri (iPhone 6s) που έχουν ρυθμιστεί να αναγνωρίζουν τη φωνή του ιδιοκτήτη τους.
- Επιπλέον, για κλειδωμένα τηλέφωνα, το χαρακτηριστικό του βοηθού φωνής πρέπει να είναι ενεργοποιημένο για την lockscreen.
- Σε παλαιότερα iPhones, όπου η Siri μπορεί να ενεργοποιηθεί από το παρατεταμένο πάτημα ενός κουμπιού στα ακουστικά, οι hackers θα πρέπει επίσης να μιμηθούν αυτό το ηλεκτρικό σήμα όταν στέλνουν ραδιοκύματα, καθιστώντας την επίθεση ακόμη πιο περίπλοκη.

Τι πρέπει να γίνει; Για την προστασία από αυτό τον τρόπο επίθεσης, οι ερευνητές ενθαρρύνουν τους χρήστες να μην αφήνουν τα ακουστικά τους συνδεδεμένα στις συσκευές τους όταν δεν χρησιμοποιούνται. Επιπλέον, θα πρέπει επίσης να χρησιμοποιούν ακουστικά χωρίς μικρόφωνο και να ενεργοποιήσουν το λογισμικό φωνητικής βοήθειας μόνο όταν το χρειάζονται. Για τους κατασκευαστές, οι ερευνητές συστήνουν καλύτερη θωράκιση των καλωδίων των ακουστικών, εφαρμογή λειτουργιών αναγνώρισης φωνής για όλες τις υπηρεσίες που χρησιμοποιούν τη φωνητική βοήθεια, προσθέτοντας έναν αισθητήρα για την ανίχνευση αφύσικης ηλεκτρομαγνητικής δραστηριότητας και επιπλέον ενθαρρύνουν τους χρήστες να χρησιμοποιούν προσαρμοσμένες εντολές για την ενεργοποίηση του βοηθού φωνής, αντί του κλασικού “Hey Siri” και “OK Google“.

https://www.secnews.gr/

ΣΧΟΛΙΟ "ΙΣΧΥΣ": ΤΑ ΠΑΡΑΠΑΝΩ ΠΟΥ ΑΝΑΦΕΡΟΝΤΑΙ ΩΣ ΠΕΡΙΟΡΙΣΜΟΙ, ΕΙΝΑΙ ΜΟΝΟΝ ..."ΠΑΙΔΙΚΕΣ ΑΣΘΕΝΕΙΕΣ" ΤΗΣ ΧΡΗΣΗΣ ΡΑΔΙΟΚΥΜΑΤΩΝ ΓΙΑ ΤΕΤΟΙΟΥΣ ΣΚΟΠΟΥΣ ΚΑΙ ΠΟΛΥ ΣΥΝΤΟΜΑ ΘΑ ΕΧΟΥΝ ΞΕΠΕΡΑΣΤΕΙ. 

No comments :

Post a Comment