Modemurile 3G și 4G USB reprezintă o amenințare la adresa securității, cercetătorul spune

Marea majoritate a modemurilor USB 3G și 4G distribuite de operatorii de telefonie mobilă clienților lor sunt produse de o mână de Companiile rusești și software-ul nesigură, potrivit unor cercetători din domeniul securității din Rusia.

Cercetătorii Nikita Tarakanov și Oleg Kupreev au analizat securitatea modemurilor USB 3G / 4G obținute de la operatorii ruși din ultimele câteva luni. Constatările lor au fost prezentate joi la conferința de securitate Black Hat Europe din 2013.

Majoritatea modemurilor 3G / 4G utilizate în Rusia, Europa și probabil în alte părți ale lumii, sunt fabricate de producătorii de hardware Huawei și ZTE, cu logo-urile și mărcile comerciale ale operatorilor de telefonie mobilă, a afirmat Tarakanov. Din acest motiv, chiar dacă cercetarea a fost făcută în primul rând pe modemurile Huawei de la operatorii ruși, rezultatele ar trebui să fie relevante și în alte părți ale lumii, a afirmat el.

[Citire suplimentară: Cum să eliminați programele malware de pe PC-ul Windows]

Tarakanov a declarat că nu au fost capabili să testeze atacurile de bandă de bază împotriva chipsurilor Qualcomm găsite în modemurile, deoarece este ilegal în Rusia să opereze propria stație de bază GSM dacă nu sunteți o agenție de informații sau un operator de telecomunicații. "Probabil că vom fi nevoiți să ne mutăm în altă țară timp de câteva luni pentru a face acest lucru", a spus el.

Mai sunt încă multe de investigat în ceea ce privește securitatea hardware-ului. De exemplu, sistemul SoC (sistem pe un cip) utilizat în multe modemuri are capacitatea Bluetooth dezactivată de la firmware, dar ar putea fi posibilă activarea acestuia, a spus cercetătorul.

Deocamdată, cercetătorii au testat software-ul preîncărcat pe modemuri și găsirea mai multor metode de a ataca sau de a le folosi în atacuri.

Pentru unul, este ușor să faceți o imagine a sistemului de fișiere al modemului USB, să îl modificați și să îl scrieți din nou pe modem. Există un instrument disponibil de la Huawei pentru a face backup-ul și restaurarea modemului, dar există și instrumente gratuite care acceptă modemuri de la alți producători, a spus Tarakanov.

Malware-ul care rulează pe computer ar putea detecta modelul și versiunea modemului 3G activ și scrieți o imagine cu personalizări rău intenționate, utilizând aceste instrumente. Acest modem ar compromite apoi orice calculator pe care este folosit.

Modemul conține programul de instalare pentru o aplicație care se instalează pe computer, precum și driverele necesare pentru diferite sisteme de operare. Aplicația permite utilizatorului să oprească, să înceapă și să administreze conexiunea la Internet stabilită prin modem.

Fișierele de configurare pentru aplicația instalată, precum și cele ale instalatorului de aplicații stocate pe modem, sunt în text simplu și pot fi ușor modificate. O setare în fișierele de configurare definește serverele DNS pe care modemul ar trebui să le utilizeze pentru conexiunea la internet.

Un atacator ar putea schimba aceste intrări în serverele controlate de atacator, a spus Tarakanov. Acest lucru ar da atacatorului posibilitatea de a direcționa utilizatorii către site-uri web necinstite atunci când încearcă să viziteze cele legitime utilizând conexiunea modem.

În timp ce aplicația de instalare a aplicației nu poate fi modificată direct pentru a încărca malware, deoarece este un executabil semnat, există unele intrări în fișierul de configurare care pot fi utilizate în acest scop.

De exemplu, multe fișiere de configurare aveau căi spre instalatori antivirus și o opțiune de instalare a acestor programe sau nu, a spus Tarakanov. Cercetătorul a spus că nu a găsit niciodată un program de instalare antivirus livrat cu modemurile USB pe care le-a testat, dar caracteristica era acolo.

Un atacator ar putea crea o imagine personalizată cu un fișier de configurare modificat care să permită această caracteristică și să instaleze un fișier rău intenționat modemul în loc de un program antivirus. Dacă imaginea este scrisă pe un modem USB, de fiecare dată când utilizatorul va instala aplicația de modem, malware-ul ar fi de asemenea instalat, a spus Tarakanov

Cercetătorii au găsit, de asemenea, un posibil vector de atac de masă. Odată instalat pe un computer, aplicația de modem - cel puțin una de la Huawei - verifică periodic actualizările de la un singur server, a spus Tarakanov. Software-ul marcat pentru un anumit operator caută actualizări într-un director de server specific operatorului respectiv.

Un atacator care reușește să compromită acest server de actualizare poate lansa atacuri de masă împotriva utilizatorilor din mai mulți operatori, a spus Tarakanov. Modemurile 3G Huawei de la mai mulți operatori ruși au folosit același server, dar ar putea exista și alte servere de actualizare pentru alte țări, a spus el.

Tarakanov a spus că nu căuta vulnerabilități în driverele moderne instalate în OS, dar se așteaptă ca acestea să aibă vulnerabilități. Marea majoritate a șoferilor terță parte, în general, au vulnerabilități, a spus el.

Tarakanov este specializat în exploatarea scrisului și găsirea vulnerabilităților în driver-ele de modem kernel-ului Windows. Cu toate acestea, Oleg Kupreev a fost liderul acestui proiect special de cercetare privind modemurile 3G / 4G.

Cercetările în acest domeniu sunt doar la început și mai sunt multe de investigat, a spus Tarakanov. Cineva trebuie să o facă pentru că multe laptopuri noi vin cu modemuri 3G / 4G direct construite și oamenii ar trebui să știe dacă reprezintă o amenințare la adresa securității.