Bluetooth: Londyn 2006

Alexander Gostev
Senior Virus Analyst, Kaspersky Lab

Najpowszechniejsz膮 metod膮 bezprzewodowej transmisji danych jest Bluetooth. Prawie wszystkie telefony kom贸rkowe posiadaj膮 modu艂 bezprzewodowy, kt贸ry umo偶liwia transmisj臋 danych do innych urz膮dze艅 oferuj膮cych komunikacj臋 Bluetooth i pozwala u偶ytkownikowi pracowa膰 w trybie bezobs艂ugowym. Bluetooth jest integraln膮 cz臋艣ci膮 smartfon贸w, urz膮dze艅 PDA i wielu laptop贸w.

Jak wi臋kszo艣膰 osi膮gni臋膰 technologicznych, Bluetooth szybko przyci膮gn膮艂 uwag臋 haker贸w, kt贸rzy pr贸bowali znale藕膰 sposoby wykorzystania protoko艂u do w艂asnych cel贸w. U艂atwiali im to nie tylko u偶ytkownicy, kt贸rzy nie rozumieli dzia艂ania technologii Bluetooth w swoich telefonach, ale r贸wnie偶 b艂臋dy w implementacji Bluetootha w urz膮dzeniach przeno艣nych. W skr贸cie, mo偶na powiedzie膰, 偶e sam protok贸艂 zawiera b艂臋dy.

Na pocz膮tku 2006 roku firma Kaspersky Lab opublikowa艂a przegl膮d architektury Bluetooth, kt贸ry zawiera艂 szczeg贸艂y najpowszechniejszych luk w zabezpieczeniu Bluetootha. Kontynuujemy badania nad t膮 technologi膮, poniewa偶 s膮dzimy, 偶e spojrzenie na Bluetootha z punktu widzenia zagro偶e艅 ze strony z艂o艣liwego kodu jest niezwykle istotne. Telefony kom贸rkowe by艂y ju偶 celem atak贸w szeregu r贸偶nych wirus贸w, 艂膮cznie z Cabirem. Robak ten jest najbardziej rozpowszechnionym z艂o艣liwym programem, kt贸ry do rozpowszechniania si臋 wykorzystuje technologi臋 Bluetooth. b

Z tematem zwi膮zane s膮 trzy podstawowe kwestie:

  • Socjotechnika: hakerzy mog膮 uzyska膰 dost臋p do informacji na telefonie u偶ytkownika, wykorzystuj膮c Bluetooth do ustanowienia po艂膮czenia "z urz膮dzeniem zaufanym", albo przekonuj膮c u偶ytkownika do zmniejszenia poziomu zabezpiecze艅/wy艂膮czenia uwierzytelnienia dla po艂膮cze艅 Bluetooth.
  • Luki w samym protokole. Hakerzy mog膮 kra艣膰 dane z telefonu, wykonywa膰 rozmowy telefoniczne lub przesy艂a膰 wiadomo艣ci, przeprowadza膰 ataki DoS na urz膮dzenia, wykorzystywa膰 s艂uchawk臋 Bluetooth do pods艂uchiwania rozm贸w itd.
  • Z艂o艣liwy kod. Telefon mo偶e zosta膰 zainfekowany przez robaka, kt贸ry za po艣rednictwem Bluetooth lub MMS roze艣le si臋 na inne urz膮dzenia. Dane na komputerze ofiary mog膮 zosta膰 zmodyfikowane, skradzione lub zaszyfrowane.

Aby zaatakowanie telefonu przez Bluetooth by艂o mo偶liwe, musi on dzia艂a膰 w trybie "widoczny dla wszystkich". Istniej膮 wprawdzie sposoby wykrycia telefon贸w z Bluetoothem dzia艂aj膮cym w trybie niewidocznym, jest to jednak bardzo skomplikowane, dlatego ten artyku艂 nie dotyczy takich przypadk贸w. Aby wykry膰 telefon w trybie niewidocznym, osoba atakuj膮ca musi okre艣li膰 adres MAC telefonu; wymaga to sporo czasu, poza tym nie ma gwarancji sukcesu.

Pod koniec 2005 i na pocz膮tku 2006 roku przeprowadzili艣my badanie w Moskwie, w kt贸rym zebrali艣my dane dotycz膮ce liczby telefon贸w z w艂膮czonym Bluetoothem. Badanie zosta艂o przeprowadzone w ruchliwych miejscach, takich jak supermarkety czy Moskiewskie Metro. W przeci膮gu mniej wi臋cej godziny wykryli艣my oko艂o 100 urz膮dze艅 w trybie "widoczny dla wszystkich". Wprawdzie liczba ta nie jest bardzo wysoka, wskazuje jednak na potencjalnie niebezpieczn膮 koncentracj臋: gdyby jedno z tych urz膮dze艅 zosta艂o zainfekowane Cabirem, mog艂oby doj艣膰 do powa偶nej epidemii wirusowej.

Podczas targ贸w InfoSecurity 2006 w Londynie planowali艣my zebra膰 dane dotycz膮ce zar贸wno sieci WiFi, jak i urz膮dze艅 w technologii Bluetooth. Ze wzgl臋du na du偶膮 liczb臋 odwiedzaj膮cych wystawa InfoSecurity stanowi艂a idealne miejsce na przeprowadzenie takiego badania. Postanowili艣my wykona膰 podobne testy r贸wnie偶 w innych miejscach Londynu (r贸wnie偶 w Mertrze) w celu por贸wnania danych z tymi uzyskanymi w Moskwie.

W ci膮gu trzech dni, w czasie kt贸rych przeprowadzali艣my nasze badania, wykryli艣my ponad 2000 urz膮dze艅 z w艂膮czonym Bluetoothem w trybie "widoczny dla wszystkich". Ponad po艂owa z tych urz膮dze艅 zosta艂a wykryta na targach InfoSecurity i nale偶a艂a zar贸wno do zwiedzaj膮cych, jak i wystawc贸w. Podobne badanie przeprowadzi艂 niedawno podczas targ贸w CeBIT 2006 jeden z naszych partner贸w - fi艅ska firma F-Secure.

Opr贸cz zebrania danych, kt贸re wykorzystali艣my w naszej prezentacji na targach InfoSecurity, postawili艣my sobie za cel przechwycenie wirus贸w dla telefon贸w kom贸rkowych. Telefony i laptopy skonfigurowali艣my w taki spos贸b, aby by艂y w trybie "widoczny dla wszystkich" i aby wszystkie pliki by艂y automatycznie akceptowane i zapisywane. Przy wyborze nazw urz膮dze艅 uwzgl臋dnili艣my fakt, 偶e wi臋kszo艣膰 robak贸w dla urz膮dze艅 mobilnych skanuje w poszukiwaniu dost臋pnych urz膮dze艅, a nast臋pnie wysy艂a si臋 na pierwsze urz膮dzenie z listy.

W naszych testach wykorzystywali艣my programy BlueSoleil, Blue Auditor i BT Scanner.

Jak ju偶 wspomnieli艣my, pierwsza cz臋艣膰 naszego badania zosta艂a przeprowadzona podczas targ贸w InfoSecurity. Na pewnym etapie liczba znajduj膮cych si臋 w zasi臋gu urz膮dze艅 by艂a tak ogromna, 偶e oprogramowanie mia艂o problemy z przetwarzaniem wszystkich danych: w promieniu 100 metr贸w wykryli艣my ponad 100 urz膮dze艅 w trybie "widoczny dla wszystkich". W ostatnim dniu wystawy przysz艂o mniej zwiedzaj膮cych, mimo to w ci膮gu zaledwie godziny zdo艂ali艣my wykry膰 ponad 700 urz膮dze艅. Wystarczy艂by tylko jeden zainfekowany telefon, aby w przeci膮gu nieca艂ej godziny zainfekowane zosta艂y niemal wszystkie niezabezpieczone urz膮dzenia.

Druga cz臋艣膰 naszego testu zosta艂a przeprowadzona r贸wnocze艣nie z badaniem sieci WiFi w dzielnicy Canary Wharf. Poszukiwania prowadzili艣my r贸wnie偶 w Metrze Londy艅skim w godzinach szczytu oraz na trzech g艂贸wnych stacjach kolejowych Londynu: Victoria, King's Cross oraz Waterloo.

Do oszacowania prawdopodobie艅stwa wyst膮pienia epidemii wirus贸w mobilnych wykorzystali艣my dane dotycz膮ce epidemii spowodowanych przez wirusy biologiczne oraz matematyczne modele epidemiologiczne. Obliczyli艣my, 偶e przy przeci臋tnej liczbie urz膮dze艅 przeno艣nych na metr kwadratowy robak atakuj膮cy urz膮dzenia przeno艣ne potrzebowa艂by 15 dni do zainfekowania prawie wszystkich niezabezpieczonych urz膮dze艅 w Moskwie. W rzeczywisto艣ci zaj臋艂oby mu to troch臋 d艂u偶ej. Wynik ten pokazuje jednak, jak du偶e jest ryzyko wyst膮pienia epidemii lokalnej. Z podobn膮 epidemi膮 mieli艣my ju偶 do czynienia w zesz艂ym roku w Helsinkach, podczas Mistrzostw 艢wiata w Lekkiej Atletyce (wed艂ug informacji podawanych przez F-Secure).

Typy urz膮dze艅

Poni偶ej przedstawiamy rodzaje wykrytych urz膮dze艅, kt贸re wykorzystuj膮 Bluetooth:

Ogromn膮 wi臋kszo艣膰 wykrytych urz膮dze艅 (ponad 70%) stanowi艂y standardowe telefony kom贸rkowe - urz膮dzenia nie posiadaj膮ce w pe艂ni funkcjonalnego systemu operacyjnego, kt贸re teoretycznie mog膮 zosta膰 zainfekowane tylko przez wirusy napisane dla J2ME (Java Mobile). Jednak wszystkie z tych telefon贸w nara偶one s膮 na ataki Bluetooth wykorzystuj膮ce luki w protokole Bluetooth. W badaniu przeprowadzonym w Moskwie ustalili艣my, 偶e oko艂o 25% wykrytych urz膮dze艅 nara偶onych by艂o na ataki BlueSnarf.

BlueSnarf jest prawdopodobnie najpopularniejszym atakiem Bluetooth. Atakuj膮cy wykorzystuje OBEX Push Profile (OPP), zaprojektowany w celu wymiany wizyt贸wek i innych obiekt贸w. W wi臋kszo艣ci przypadk贸w us艂uga ta nie wymaga uwierzytelniania. Atak BlueSnarf polega na wys艂aniu 偶膮dania OBEX GET dla znanych powszechnych plik贸w, takich jak 'telecom/pb.vcf' (ksi膮偶ka telefoniczna) lub 'telecom/cal.vcs' (kalendarz). Je偶eli oprogramowanie urz膮dzenia nie zosta艂o zaimplementowane poprawnie, agresor mo偶e uzyska膰 dost臋p do wszystkich plik贸w zapisanych na atakowanym urz膮dzeniu.

Tego rodzaju danych nie pr贸bowali艣my zbiera膰 podczas targ贸w InfoSecurity, poniewa偶 nie mieli艣my pewno艣ci, czy skanowanie w poszukiwaniu luk w zabezpieczeniu jest legalne. Zgromadzili艣my tylko dane transmitowane przez urz膮dzenia otwarcie i na ich podstawie sformu艂owali艣my wnioski.

Drugim najbardziej rozpowszechnionym typem urz膮dze艅 by艂y smartfony, stanowi膮ce oko艂o 25% wszystkich urz膮dze艅. 艢wiadczy to o rosn膮cej popularno艣ci urz膮dze艅 wykorzystuj膮cych systemy operacyjne Windows Mobile oraz Symbian. Przy tak du偶ym wsp贸艂czynniku wzrostu mo偶emy si臋 spodziewa膰, 偶e w przysz艂ym roku liczba smartfon贸w dor贸wna liczbie standardowych urz膮dze艅. Smartfony dzia艂aj膮ce pod kontrol膮 systemu Symbian s膮 obecnie g艂贸wnym celem tw贸rc贸w wirus贸w; jednak wraz ze wzrostem popularno艣ci Windows Mobile, kt贸ry w wielu krajach wyprzedza Symbiana, system ten b臋dzie atakowany przez coraz wi臋cej wirus贸w.

Na trzecim miejscu znalaz艂y si臋 laptopy z adapterami Bluetooth. Chocia偶 stanowi艂y tylko 3% wszystkich wykrytych urz膮dze艅, prawdopodobnie s膮 one bardziej nara偶one na ataki haker贸w ni偶 standardowe telefony czy smartfony. Wynika to z tego, 偶e na laptopach przechowywanych jest o wiele wi臋cej danych i s膮 one potencjalnie o wiele bardziej u偶yteczne dla haker贸w ni偶 dane przechowywane na telefonie.

Zaskoczeniem by艂o dla nas wykrycie bardzo ma艂ej liczby urz膮dze艅 PDA - stanowi艂y one mniej ni偶 2% wszystkich wykrytych urz膮dze艅. Po艣rednio mo偶e by膰 to zwi膮zane z faktem, 偶e u偶ytkownicy PDA s膮 艣wiadomi problem贸w bezpiecze艅stwa Bluetooth i wykazuj膮 odpowiedni膮 ostro偶no艣膰.

W sumie wykryli艣my ponad 2 000 urz膮dze艅 12 r贸偶nych typ贸w. W艣r贸d nich znalaz艂y si臋 r贸wnie偶 urz膮dzenia z grupy Nieskategoryzowany i R贸偶ne, stanowi艂y jednak mniej ni偶 1%.

Producenci sprz臋tu

Dzi臋ki uzyskanym danym dotycz膮cym producent贸w sprz臋tu mo偶emy du偶o powiedzie膰 na temat rynku urz膮dze艅 przeno艣nych. Dane te pozwalaj膮 okre艣li膰, kt贸re systemy operacyjne wykorzystuj膮 smartfony i urz膮dzenia PDA oraz jaki jest udzia艂 producenta w rynku.

W sumie zidentyfikowali艣my 35 producent贸w urz膮dze艅, z czego 6 nale偶a艂o do najpopularniejszych i stanowi艂o ponad 67% wszystkich wykrytych urz膮dze艅. W znacznej liczbie przypadk贸w (25,5%) nie byli艣my w stanie ustali膰 producenta.

Jak wynika z danych, najpopularniejsze by艂y telefony Nokia, na drugim miejscu znalaz艂y si臋 telefony Sony Ericsson. 6 lokat臋, dzi臋ki sporej liczbie wykrytych laptop贸w i komputer贸w, zdoby艂 USI.

Wcze艣niej przedstawiali艣my, jaki typ urz膮dze艅 wytwarzaj膮 poszczeg贸lni producenci. Warto wi臋c przyjrze膰 si臋 nast臋puj膮cym danym:

Nokia
Telefon/Smartfon 26,7%
Telefon/Urz膮dzenie mobilne 73,3%

Sony Ericsson
Telefon/Smartfon 10,9%
Telefon/Urz膮dzenie mobilne 88,9%
Inne 0,2%

Murata
Telefon/Urz膮dzenie mobilne 99,4%
Komputer/Komputer stacjonarny 0,6%

Samsung
Telefon/Urz膮dzenie mobilne 65,7%
Telefon/Urz膮dzenie bezprzewodowe 34,3%

Texas Instruments
Telefon/Urz膮dzenie mobilne 62,2%
Komputer/Handheld 26,8%
Telefon/Smartfon 9,8%
Komputer/PDA 1,2%

USI
Komputer/Laptop 81,6%
Komputer/Komputer stacjonarny 18,4%

Nieznani producenci
Telefon/Urz膮dzenie mobilne 50,8%
Telefon/Smartfon 41,9%
Komputer/Laptop 4,9%
Telefon/Urz膮dzenie bezprzewodowe 2,1%
Komputer/Komputer stacjonarny 0,2%
Audio-Video/Zestaw g艂o艣nom贸wi膮cy 0,2%

Dost臋pne us艂ugi

Dane dotycz膮ce dost臋pnych us艂ug s膮 interesuj膮ce z tego wzgl臋du, 偶e do pewnego stopnia wskazuj膮, jakie ataki hakerskie mog膮 zosta膰 przeprowadzone oraz jakie jest prawdopodobie艅stwo zainfekowania urz膮dzenia z艂o艣liwym programem. Gdy urz膮dzenie z w艂膮czonym Bluetoothem nawi膮zuje po艂膮czenie z innym urz膮dzeniem, udost臋pniany jest szereg r贸偶nych us艂ug. Na przyk艂ad, je艣li ustanowisz po艂膮czenie ze swoim przyjacielem w celu transmisji danych, tw贸j telefon umo偶liwi mu wykonywanie rozm贸w telefonicznych i wysy艂anie SMS-贸w, przegl膮danie twojej ksi膮偶ki telefonicznej itd. Pomy艣l, co by si臋 sta艂o, gdyby na miejscu twojego przyjaciela znalaz艂 si臋 haker - na skutek wykorzystania socjotechniki albo luki w zabezpieczeniu Bluetootha.

Zebrane przez nas dane ukazuj膮 rodzaje us艂ug, do jakich szkodliwi u偶ytkownicy mog膮 uzyska膰 dost臋p, a nast臋pnie wykorzysta膰 je.

Na pocz膮tek przyjrzyjmy si臋 danym dotycz膮cym us艂ug dla wszystkich wykrytych urz膮dze艅. W ponad 2 000 wykrytych urz膮dze艅 zidentyfikowali艣my oko艂o 6000 us艂ug:

Oznacza to, 偶e 艣rednio na ka偶dym urz膮dzeniu dost臋pne by艂y trzy us艂ugi (6000 podzielone przez 2000). W rzeczywisto艣ci wykryli艣my urz膮dzenia z 5 lub 6 dost臋pnymi us艂ugami.

Jak wynika z przedstawionych wy偶ej danych, najpopularniejsze by艂y nast臋puj膮ce us艂ugi:

  • Object Transfer (transmitowanie/otrzymywanie plik贸w) - us艂uga wykorzystywana w ponad 90% urz膮dze艅
  • Telephony (wykonywanie/otrzymywanie rozm贸w telefonicznych, wiadomo艣ci) - us艂uga wykorzystywana w ponad 90% urz膮dze艅
  • Networking (mo偶liwo艣膰 dost臋pu do Internetu za po艣rednictwem wewn臋trznego modemu) - us艂uga wykorzystywana w ponad 65% urz膮dze艅

Ze wzgl臋du to, 偶e telefony i smartfony s膮 najpopularniejszymi urz膮dzeniami z w艂膮czonym Bluetoothem, warto przyjrze膰 si臋 danym dotycz膮cym tych urz膮dze艅 oddzielnie.

Smartfony

Stosunek liczby urz膮dze艅 do us艂ug wynosi艂 mniej wi臋cej 1:2.

Dane przedstawione wy偶ej znacznie r贸偶ni膮 si臋 od og贸lnych liczb.

Og贸lnie, najbardziej rozpowszechnion膮 us艂ug膮 by艂 OBEX. Jednak us艂ug臋 t膮 wykryto w mniej ni偶 90% smartfon贸w. Na pierwszym miejscu znalaz艂a si臋 us艂uga "Telephony". Trzecia pod wzgl臋dem popularno艣ci - i tu spotka艂a nas niespodzianka - nie by艂a us艂uga "Networking", ale "Audio". Wygl膮da na to, 偶e smartfony o wiele cz臋艣ciej wykorzystywane s膮 do pracy z bezprzewodowymi urz膮dzeniami audio ni偶 w celu nawi膮zania po艂膮czenia z sieci膮.

Jednak jak wiemy, smartfony s膮 g艂贸wnym celem atak贸w mobilnego z艂o艣liwego oprogramowania, kt贸re w celu rozprzestrzeniania si臋 wymaga us艂ugi "Object Transfer". Mniej wi臋cej 30% wszystkich wykrytych smartfon贸w zosta艂o wyprodukowanych przez Noki臋 i dzia艂a艂o pod kontrol膮 systemu Symbian, platformy najcz臋艣ciej wykorzystywanej przez mobilne z艂o艣liwe oprogramowanie, 艂膮cznie z robakami Cabir i Comwar.

Telefony

Je艣li chodzi o standardowe telefony, wsp贸艂czynnik urz膮dze艅 do dost臋pnych us艂ug wynosi艂 mniej wi臋cej 1:3. By艂 to nieco zaskakuj膮cy wynik, poniewa偶 smartfony maj膮 o wiele wi臋ksz膮 funkcjonalno艣膰 ni偶 standardowe telefony. Prawdopodobnie wynika艂o to z lepszej konfiguracji polityki bezpiecze艅stwa w us艂ugach smartfon贸w.

Dane statystyczne ukazuj膮ce trzy najpopularniejsze us艂ugi dost臋pne w klasycznych telefonach niewiele r贸偶ni膮 si臋 od danych dla wszystkich rodzaj贸w urz膮dze艅. Nie ma w tym nic zaskakuj膮cego, zw艂aszcza 偶e standardowe telefony stanowi艂y prawie 70% wszystkich wykrytych urz膮dze艅.

Interesuj膮ce jest to, 偶e wsp贸艂czynnik us艂ug OBEX do "Telephony" jest odwrotny ni偶 dla smatrfon贸w. Ponad 97% telefon贸w mia艂o dost臋pn膮 us艂ug臋 transmisji plik贸w (w por贸wnaniu z 80% smartfon贸w). O wiele popularniejsza by艂a r贸wnie偶 us艂uga "Networking" - dost臋pna w prawie 90% telefon贸w.

Luki, kt贸re mog膮 zosta膰 wykorzystane podczas korzystania z us艂ugi "Telephony", stanowi膮 zagro偶enie zar贸wno dla standardowych telefon贸w, jak i smartfon贸w. Luki w zabezpieczeniu i potencjalna infekcja wirusem, kt贸re mog膮 zosta膰 wykorzystane podczas transmisji plik贸w, s膮 wi臋kszym zagro偶eniem dla standardowych telefon贸w ni偶 dla smartfon贸w. Us艂uga "Networking", kt贸ra jest podstaw膮 szeregu innych atak贸w, jest r贸wnie偶 popularniejsza w telefonach ni偶 smartfonach.

Niestety nie uda艂o nam si臋 przyj膮膰 偶adnego zainfekowanego pliku. Nie wykryli艣my 偶adnej pr贸by przes艂ania zainfekowanego pliku. Otrzymali艣my wiele plik贸w, g艂贸wnie gdy byli艣my w samym Londynie, a nie podczas targ贸w InfoSecurity. Wszystkie z nich by艂y jednak nieszkodliwe. Wniosek jest jeden: albo tzw. "bluejacking" (wysy艂anie muzyki, grafiki i gier) jest tak samo popularny w Londynie jak w Moskwie, albo pliki te zosta艂y wys艂ane przez pomy艂k臋. Jednak wysy艂anie i otrzymywanie takich plik贸w r贸wnie偶 stanowi pewne ryzyko dla obu stron: osoba wysy艂aj膮ca mo偶e przes艂a膰 plik do niew艂a艣ciwego odbiorcy, a odbiorca mo偶e przyj膮膰 plik z wirusem, sugeruj膮c si臋 tym, 偶e wszystkie pliki, jakie do tej pory otrzyma艂 by艂y nieszkodliwe.

Wyniki naszego badania pokazuj膮, 偶e wci膮偶 nale偶y informowa膰 u偶ytkownik贸w o zagro偶eniu wynikaj膮cym ze stosowania technologii Bluetooth. R贸wnie偶 producenci telefon贸w i smartfon贸w powinni zacz膮膰 po艣wi臋ca膰 wi臋cej uwagi lukom w zabezpieczeniu Bluetootha i b艂臋dom w zabezpieczeniu us艂ug, kt贸re mog艂yby zosta膰 wykorzystane przez szkodliwych u偶ytkownik贸w.

殴r贸d艂o:
Kaspersky Lab