Jestem mobilny ... nie jestem bezpieczny

Maciej Ziarek, analityk zagro偶e艅, Kaspersky Lab Polska

Na rynku telefon贸w kom贸rkowych pojawia si臋 coraz wi臋cej kusz膮cych promocji maj膮cych przyci膮gn膮膰 nowych klient贸w. Smartfon za z艂ot贸wk臋, tablet przy podpisaniu umowy na dwa lata czy te偶 mo偶liwo艣膰 wymiany telefonu na nowy po roku - wszystko to przyci膮ga klient贸w. Nowoczesne urz膮dzenia mobilne s膮 zaawansowane technicznie i pozwalaj膮 dokona膰 w zasadzie tych samych rzeczy, kt贸re robimy na zwyk艂ym komputerze. Sprawdzanie poczty, wysy艂anie i pobieranie plik贸w, ogl膮danie film贸w, korzystanie z serwis贸w spo艂eczno艣ciowych - wszystko dos艂ownie w zasi臋gu r臋ki. Pozostaje jednak pytanie, jak na tle funkcjonalno艣ci ma si臋 bezpiecze艅stwo? Posiadacze mobilnych urz膮dze艅 cz臋sto nie zdaj膮 sobie sprawy z pu艂apek, jakie przygotowali na nich cyberprzest臋pcy...

Mobilne szkodliwe oprogramowanie to nie mit!

Trojany, wirusy oraz programy szpieguj膮ce by艂y do niedawna kojarzone z komputerami, na pok艂adzie kt贸rych znajdowa艂y si臋 tradycyjne systemy operacyjne. Wraz ze spopularyzowaniem smartfon贸w i tablet贸w, autorzy z艂o艣liwych aplikacji obrali sobie za cel tak偶e platformy mobilne. Rynek ten okazuje si臋 by膰 dla przest臋pc贸w 藕r贸d艂em du偶ych dochod贸w. Odpowiednio przygotowane aplikacje mog膮 wykrada膰 dane, 艂膮czy膰 si臋 z numerami o podwy偶szonej op艂acie czy wysy艂a膰 SMS-y na numery premium. Takie zagro偶enia mog膮 budzi膰 obawy posiadaczy smartfon贸w, a jest to niestety dopiero pocz膮tek listy z funkcjami zagro偶e艅 mobilnych.


Popularno艣膰 mobilnych system贸w operacyjnych (pa藕dziernik-listopad 2011)
Dane: StatCounter - GlobalStats


Ilo艣膰 mobilnego szkodliwego oprogramowania pisanego na konkretne platformy (I po艂owa 2011 r.)
Dane: Kaspersky Lab

Samo istnienie z艂o艣liwego oprogramowania na telefony jest niezaprzeczalnym faktem, nale偶y jednak pami臋ta膰, 偶e nie wszystkie systemy operacyjne s膮 zagro偶one w jednakowym stopniu i niekoniecznie ma ta zwi膮zek z popularno艣ci膮 danego OS-a. Powy偶szy wykres przedstawia ilo艣膰 mobilnych szkodnik贸w jaka jest tworzona dla poszczeg贸lnych platform.

Najbardziej rzucaj膮c膮 si臋 w oczy warto艣ci膮 jest udzia艂 szkodliwego oprogramowania pisanego dla systemu iOS (iPhone, iPad, iPod Touch) w og贸lnym rozrachunku. System ten cieszy si臋 osn膮c膮 popularno艣ci膮 na ca艂ym 艣wiecie, czego dowodem jest pierwszy wykres. Powstaje pytanie, dlaczego tw贸rcy szkodliwych program贸w nie skupiaj膮 wi臋kszej uwagi na mobilnym systemie Apple? Wynika to z polityki jak膮 firma ta prowadzi wzgl臋dem swoich produkt贸w. W iOS mo偶na zainstalowa膰 aplikacje, kt贸re pochodz膮 z oficjalnego sklepu, nad kt贸rym piecz臋 sprawuje sam producent. Doda膰 nale偶y, 偶e od napisania programu do umieszczenia go w sklepie jest d艂uga droga, podczas kt贸rej nast臋puje tak偶e weryfikacja aplikacji. Z tego wzgl臋du dodanie z艂o艣liwego kodu jest bardzo ma艂o prawdopodobne. Sk膮d zatem 0,14 proc. na wykresie? S膮 to najprawdopodobniej telefony po tzw. "jailbreaku". M贸wi膮c og贸lnikowo, czynno艣膰 ta polega na zdj臋ciu restrykcji i ogranicze艅 z iPhone'a, dzi臋ki czemu mo偶liwe staje si臋 instalowanie aplikacji spoza oficjalnego 藕r贸d艂a dystrybucji. Daje to wi臋ksz膮 swobod臋, ale tym samym zwi臋ksza ryzyko instalacji szkodnika. Jednym z nich okaza艂 si臋 by膰 Net-Worm.IphoneOS.Ike. Robak ten wykrada z iPhone'a i iPoda Touch dane u偶ytkownika, a tak偶e pozwala cyberprzest臋pcy na zdalne przej臋cie kontroli nad zainfekowanym urz膮dzeniem. Dodatkowo, osoby korzystaj膮ce z us艂ug holenderskiego banku ING Direct by艂y przekierowywane na stron臋 phishingow膮 podczas pr贸by 艂膮czenia ze stron膮 banku z zainfekowanego smartfona. Specjalnie spreparowana strona pos艂u偶y艂a cyberprzest臋pcom do wykradania hase艂 i login贸w do konta.

Telefon - atrybut bezpiecznej bankowo艣ci

Telefony kom贸rkowe s艂u偶膮 tak偶e jako narz臋dzie maj膮ce chroni膰 nasze 艣rodki zgromadzone na koncie bankowym. Spora cz臋艣膰 os贸b korzystaj膮cych z bankowo艣ci elektronicznej jako dodatkow膮 form臋 autoryzacji, konieczn膮 do wykonania np. przelew贸w, wybiera kody jednorazowe dystrybuowane poprzez wiadomo艣ci SMS. Do niedawna metoda ta uchodzi艂a za bardzo bezpieczn膮 i z pewno艣ci膮 lepsz膮 ni偶 kody umieszczone na kartach zdrapkach. Niestety pojawienie si臋 trojana Zbot, znanego tak偶e jako ZeuS okaza艂o si臋 zwiastunem nowej ery. Szkodnik ten jest w pewnym sensie "prze艂omowy", niestety nie w pozytywnym tego s艂owa znaczeniu. Zeus atakowa艂 klient贸w bank贸w w r贸偶nych cz臋艣ciach 艣wiata, tak偶e w Polsce. Jego dzia艂anie by艂o kilkuetapowe. W pierwszej kolejno艣ci infekowany by艂 system operacyjny ofiary. Kiedy u偶ytkownik 艂膮czy艂 si臋 ze stron膮 internetow膮 banku, szkodliwe oprogramowanie wy艣wietla艂o fa艂szyw膮 witryn臋 instytucji finansowej. Wszystkie wpisane tam dane by艂y rejestrowane przez trojana. Na poni偶szym obrazku wida膰 etap logowania na sfa艂szowanej stronie banku.


Fa艂szywa strona logowania wygenerowana przez konia troja艅skiego ZeuS (1)

Warto zwr贸ci膰 uwag臋 na dwa szczeg贸艂y. Po pierwsze wygl膮d strony banku nie uleg艂 zmianie, dzi臋ki czemu u艣piona zosta艂a czujno艣膰 klient贸w. Po drugie, konieczno艣膰 podania ca艂ego has艂a, a nie pi臋ciu wybranych przez system znak贸w (co sugeruje podpowied藕 zamieszczona przez bank ma艂膮, szar膮 czcionk膮) wskazuje na ingerencj臋 trojana w stron臋 banku wy艣wietlan膮 w przegl膮darce. W ten spos贸b autorzy szkodnika omijaj膮 zabezpieczenie nazywane has艂em maskowanym, gdzie do autoryzacji podaje si臋 jedynie kilka znak贸w z ca艂ego has艂a g艂贸wnego. Znajomo艣膰 loginu i has艂a nie wystarczy jednak do przelania 艣rodk贸w zgromadzonych na koncie. Wi臋kszo艣膰 polskich bank贸w jako drugi stopie艅 zabezpiecze艅 stosuje wspomniane wcze艣niej has艂a jednorazowe wysy艂ane do klienta przy pomocy SMS-贸w (tzw. kody mTAN, Transaction Authentication Number). Kolejne obrazki pokazuj膮, jak przest臋pcy rozwi膮zali ten problem.


Fa艂szywa strona logowania wygenerowana przez trojana ZeuS (2)


Fa艂szywa strona logowania wygenerowana przez trojana ZeuS (3)

Autorzy trojana postanowili skorzysta膰 z socjotechniki. Powo艂uj膮c si臋 na wzgl臋dy bezpiecze艅stwa i gwarantuj膮c, 偶e poprzez instalacj臋 odpowiedniego certyfikatu na smartfonie nikt poza w艂a艣cicielem rachunku nie b臋dzie m贸g艂 zalogowa膰 si臋 do konta, zach臋cali do pobrania aplikacji na sw贸j telefon. Aby dopasowa膰 program do konkretnego platformy z jak膮 wsp贸艂pracowa艂 smartfon, u偶ytkownik musia艂 poda膰 mark臋 i model urz膮dzenia, a tak偶e wpisa膰 sw贸j numer telefonu. W kr贸tkim czasie na wskazany numer by艂 wys艂any SMS z linkiem prowadz膮cym do strony, z kt贸rej mo偶na by艂o pobra膰 aplikacj臋. Na chwil臋 obecn膮 istniej膮 wersje dla system贸w Symbian, Windows Mobile, Android oraz BlackBerry. Od momentu zainstalowania rzekomego "certyfikatu", wszystkie przychodz膮ce wiadomo艣ci tekstowe, wliczaj膮c w to kody jednorazowe autoryzuj膮ce przelewy, b臋d膮 przekazywane na numer przest臋pcy.

Telefony kom贸rkowe mia艂y sta膰 si臋 narz臋dziem, dzi臋ki kt贸remu klienci bank贸w poczuj膮, 偶e ich rachunki s膮 bezpieczne. Kody wysy艂ane s膮 tylko w przypadku konieczno艣ci autoryzowania transakcji lub modyfikacji ustawie艅 konta. Dodatkowo telefon najcz臋艣ciej nosimy przy sobie czego nie mo偶na powiedzie膰 np. o zdrapkach z kodami. Wydawa艂o si臋, 偶e znaleziono rozwi膮zanie idealne, a bezpiecze艅stwo zosta艂o po艂膮czone z wygod膮. Niestety stanie w miejscu oznacza cofanie si臋 i przest臋pcy dobrze o tym wiedz膮. Wraz ze wzrostem popularno艣ci smartfon贸w, a co za tym idzie mobilnych system贸w operacyjnych, dostrzegli szans臋 na omini臋cie zabezpiecze艅 poprzez wykorzystanie ludzkiej naiwno艣ci i 艂atwowierno艣ci.


Schemat ataku trojana ZeuS na klient贸w polskich bank贸w

Telefon niczym skarbonka

Pierwsze aparaty cyfrowe w telefonach kom贸rkowych robi艂y zdj臋cia tak niskiej jako艣ci, 偶e s艂u偶y艂y bardziej za gad偶et, kt贸rym mo偶na si臋 pochwali膰 znajomym. Matryca 0,3 Mpx nie pozwala艂a na fotograficzne szale艅stwa. Obecnie montowane matryce 5 czy 8 Mpx wraz z lepsz膮 optyk膮 pozwalaj膮 wykona膰 zdj臋cia w bardzo dobrej jako艣ci. Je偶eli po艂膮czymy to z faktem, 偶e telefon kom贸rkowy mamy praktycznie przez ca艂y czas przy sobie, otrzymujemy urz膮dzenie, kt贸rym uwiecznimy wi臋kszo艣膰 niezwyk艂ych chwil, jakie mog膮 nas spotka膰 na co dzie艅. W ten spos贸b wype艂niamy pami臋膰 telefonu zdj臋ciami, kt贸re mog膮 du偶o o nas powiedzie膰 i niekiedy woleliby艣my si臋 nimi nie chwali膰. Na co dzie艅 ma艂o kto rozpatruje scenariusz kradzie偶y telefonu czy infekcji szkodliwym oprogramowaniem. Gdy jeden z powy偶szych schemat贸w zostanie zrealizowany, jest ju偶 najcz臋艣ciej za p贸藕no na dzia艂anie, a nam pozostaje zastanawianie si臋, w posiadanie jakich informacji m贸g艂 wej艣膰 "nowy w艂a艣ciciel" telefonu i co z nimi zrobi.

O tym, 偶e przechowywanie prywatnych danych w smartfonie nie pop艂aca, przekona艂o si臋 niedawno kilka ameryka艅skich celebrytek , mi臋dzy innymi Scarlett Johansson. We wrze艣niu nagie zdj臋cia gwiazdy, wykonane telefonem kom贸rkowym, zosta艂y opublikowane przez hackera w Internecie. Johansson nie by艂a w stanie powiedzie膰 w jaki spos贸b komu艣 uda艂o si臋 dotrze膰 do jej smartfonu, a o ca艂ym zdarzeniu poinformowa艂a FBI, kt贸re zatrzyma艂o sprawc臋.


Dane, do kt贸rych dost臋p mog膮 uzyska膰 osoby trzecie

Nawet je偶eli kto艣 nie robi i nie trzyma kompromituj膮cych zdj臋膰 w smartfonie, przest臋pcy mog膮 zainteresowa膰 si臋 innymi danymi. Wiele os贸b u偶ywa telefonu do odbierania korespondencji firmowej. Cz臋sto zawiera ona newralgiczne dla firmy dane, kontakty do klient贸w, strategie marketingowe czy metody wdra偶ania nowych produkt贸w. Utrata takich informacji mo偶e nie艣膰 ze sob膮 daleko id膮ce konsekwencje. Kolejnym zagro偶eniem jest mo偶liwo艣膰 przej臋cia hase艂 i login贸w do r贸偶nych serwis贸w i us艂ug (np. portali spo艂eczno艣ciowych), kt贸re dostarcz膮 jeszcze wi臋cej informacji na temat w艂a艣ciciela.

Us艂ugi dost臋pne dla urz膮dze艅 mobilnych maj膮 u艂atwi膰 偶ycie, nale偶y jednak zda膰 sobie spraw臋, 偶e skumulowanie wielu informacji w jednym miejscu sprawia, 偶e utrata telefonu mo偶e by膰 bardzo dotkliwa. Zamiast rezygnowa膰 z u偶ywania smartfonu do wy偶ej wymienionych cel贸w, lepiej odpowiednio go zabezpieczy膰. Mobilne programy antywirusowe chroni膮 przed z艂o艣liwym kodem, jednak w przypadku kradzie偶y telefonu to zabezpieczenie jest niewystarczaj膮ce. Najlepszym wyj艣ciem jest trzymanie wa偶nych informacji czy zdj臋膰 w zaszyfrowanych folderach. Dzi臋ki temu nawet je偶eli osoby trzecie wejd膮 w posiadanie naszego urz膮dzenia, nie b臋d膮 w stanie odczytach informacji na nim zapisanych. Niekt贸re programy pozwalaj膮 tak偶e na zdalne czyszczenie ca艂ej pami臋ci utraconego smartfonu. Wystarczy z innego telefonu kom贸rkowego wys艂a膰 odpowiedni kod w postaci SMS-a, by b艂yskawicznie skasowa膰 wszystkie wiadomo艣ci, kontakty, historie po艂膮cze艅, zdj臋cia i wiele innych informacji.

Znalezione, nie kradzione!

W dobie miniaturyzacji ka偶dego cyfrowego no艣nika bardzo 艂atwo jest zgubi膰 drogi sprz臋t. Konsekwencje zgubienia telefonu s膮 w zasadzie identyczne, jak w przypadku jego kradzie偶y - osoby niepowo艂ane mog膮 uzyska膰 dost臋p do naszych danych. Zgubienie telefonu daje u偶ytkownikowi jednak nadziej臋, 偶e uda mu si臋 go odzyska膰, zanim kto艣 inny "zaopiekuje" si臋 znaleziskiem. Serwis OneMobileMedia.com opublikowa艂 do艣膰 ciekawe statystyki dotycz膮ce dziesi臋ciu miejsc, gdzie najcz臋艣ciej gubimy smartfony oraz szans, jakie mamy na ich odzyskanie.


Jakby nie patrze膰 s膮 to miejsca, w kt贸rych przebywamy na co dzie艅. W zale偶no艣ci od tego gdzie zostawili艣my urz膮dzenie, szanse na jego odnalezienie mog膮 by膰 bardzo ma艂e lub zerowe. Utrata drogiego smartfonu mo偶e by膰 bardzo kosztown膮 lekcj膮. Z tego wzgl臋du producenci oprogramowania zabezpieczaj膮cego coraz cz臋艣ciej decyduj膮 si臋 na implementacj臋 us艂ugi pozwalaj膮cej zlokalizowa膰 zgubiony telefon przy pomocy wbudowanego nadajnika GPS. W ten spos贸b u偶ytkownik ma znacznie wi臋ksze szanse na sukces podczas poszukiwa艅.

Podsumowanie

Rynek urz膮dze艅 mobilnych stale ro艣nie i nic nie wskazuje na to, 偶eby w najbli偶szym czasie mia艂o nast膮pi膰 zahamowanie popytu na smartfony. W zwi膮zku z tym nale偶y si臋 spodziewa膰 eskalacji zagro偶e艅 na mobilne systemy operacyjne, g艂贸wnie w postaci szkodliwego oprogramowania. Ju偶 teraz liczba sygnatur mobilnych wirus贸w i trojan贸w przekracza 3 000, a doda膰 nale偶y, 偶e z miesi膮ca na miesi膮c jest ona coraz wi臋ksza. Cyberprzest臋pcy szukaj膮 nowych metod infekowania urz膮dze艅, czego dowodem jest wspomniany w artykule ZeuS. Trudno przewidzie膰, jakie b臋d膮 mo偶liwo艣ci zagro偶e艅 mobilnych za kilka miesi臋cy, ale jedno jest pewne - dla przest臋pc贸w nie istniej膮 偶adne 艣wi臋to艣ci, a smartfony to bardzo dochodowy interes, do kt贸rego b臋d膮 chcieli mie膰 dost臋p.

殴ród艂o:
Kaspersky Lab