Bezpečnosť mobilných zariadení

Prečo útočníci sústavne cielia na smartfóny?

Dnešný svet je skutočne prepojený, čo môžeme vidieť aj na vysokom počte používateľov smartfónov vo svete:

  • S pribúdajúcimi rokmi sa počet používateľov smartfónov dramaticky zvýšil. Dnes existuje približne 6,6 miliardy používateľov smartfónov po celom svete.
  • Približne 83,72% svetovej populácie vlastní smartfón, čo znamená, že tieto zariadenia sa stali neoddeliteľnou súčasťou každodenného života pre väčšinu ľudí na planéte.

Smartfóny priťahujú pozornosť útočníkov z viacerých dôvodov:

  • Popularita: S narastajúcim trendom používania smartfónov majú útočníci na výber viac cieľov. Čím viac ľudí tieto zariadenia vlastní, tým väčšia je pravdepodobnosť úspechu pre útočníkov.
  • Dostupnosť dát: Smartfóny uchovávajú rôznorodé a cenné informácie, ako sú osobné údaje, komunikačná história, fotografie, financie a prístupové údaje k rôznym službám. Tieto dáta sú pre útočníkov lákavé a môžu ich využiť na rôzne nekalé účely.

Dnešné smartfóny sú viac ako len nástroje na zaslanie správy či volanie. Ich funkčnosť sa rozšírila do rôznych sfér:

  • Komunikácia: Smartfóny nám poskytujú rôzne možnosti komunikácie, od textových správ a hovorov po videohovory. Tieto nástroje nás spájajú s priateľmi a rodinou bez ohľadu na vzdialenosť.
  • Fotografovanie a videá: Vďaka kvalite fotoaparátov v smartfónoch sa stali obľúbeným nástrojom pre zachytenie dôležitých okamihov a zdieľanie zážitkov.
  • Bezpečné transakcie: Internetové bankovníctvo umožňuje uskutočňovať finančné transakcie jednoducho a bezpečne prostredníctvom smartfónu.
  • Platby: Funkcia bezkontaktných platieb mení spôsob, akým platíme, a zjednodušuje nákupy v obchodoch.
  • Navigácia: Integrované GPS umožňuje presné navigovanie, či už ideme pešo alebo autom.
  • Všetko v jednom: Smartfóny sa stali náhradou kľúčov od auta, dokladov ako občiansky preukaz, preukaz poistenca a ďalšie.
Zdroj: pch.vector / Freepik

Útoky a ich postup (Sandbox)

Keď hovoríme o útokoch na aplikácie, je dôležité vedieť, že väčšina moderných aplikácií štandardne beží v rámci tzv. „sandboxu“. Tento „sandbox“ je izolovaným prostredím, kde aplikácie operujú s obmedzenými oprávneniami. To znamená, že aplikácie nemajú automatický prístup k všetkým častiam zariadenia a jeho údajom.

Pri štandardnom behu (ak nie je využitá logická chyba) bežia všetky aplikácie vo svojom vlastnom sandboxe. Týmto spôsobom sa znižuje riziko škodlivého alebo neoprávneného prístupu k dôležitým údajom alebo funkcionalitám.

V skratke sandbox nám umožňuje používať rôzne aplikácie s dôverou v to, že sú izolované od seba a nemajú neobmedzený prístup k zariadeniu. 

  • Ako užívatelia sme možno zaregistrovali, že aplikácie často požadujú povolenia na prístup k rôznym údajom či funkcionalitám, ako je kamera, úložisko alebo kontakty. Tieto oprávnenia majú byť udelené s rozvahou, vzhľadom na charakter aplikácie.
  • Je dôležité nedávať zbytočné povolenia aplikáciám, ktoré to nepotrebujú (napr. kalkulačka nepotrebuje prístup k našim kontaktom).
  • Niektoré aplikácie môžu zneužiť užívateľské oprávnenia. Cieľom útočníkov je zmanipulovať užívateľa tak, aby udelenie požadovaných oprávnení bolo nevyhnutné a odôvodnené.
  • Prihlasovanie sa do rôznych systémov ako je internetové bankovníctvo, email a mnoho ďalších aplikácií si často vyžaduje druhý faktor overenia pomocou overovacieho kódu.
  • Tento kód nám môže by zaslaný pomocou SMS správy.
  • Útočníci môžu v takomto prípade zneužiť povolenie na správy SMS a ukradnúť tieto overovacie kódy. Tým získajú prístup k našim finančným účtom a ďalším citlivým informáciám, a to aj v prípade, že máme nastavené dvojfaktorové overenie.
  • Alternatívou SMS správ pre overenie druhým faktorom je použitie overovacích aplikácií, ktoré nevyžadujú správy SMS, ale generujú kódy na základe algoritmov, ktoré sú oveľa ťažšie prelomiteľné.
  • Tieto služby umožňujú užívateľom prekrývať obrazovku a zadávať text rôznymi spôsobmi, čo zvyšuje ich schopnosť využívať 
  • Majú napomáhať hlavne ľuďom so zrakovým postihnutím, umožňujúc im komunikovať, navigovať a vykonávať rôzne úkony bez nutnosti tradičného zobrazenia na obrazovke.
  • Aj tieto služby potrebujú isté oprávnenia na správne fungovanie, preto sa môžu stať terčom útočníkov.
  • Hlavným cieľom je získanie citlivých údajov, vrátane hesiel a prihlasovacích údajov.
  • Jedným z takýchto scenárov je útok, kde útočníci prekryjú okno aplikácie svojím neviditeľným oknom, ktoré je nad tým, čo vidí užívateľ. Týmto spôsobom môžu zachytávať všetky dáta, ktoré používateľ zadá do svojho zariadenia.
  • Nie každý škodlivý softvér však vyžaduje schválenie používateľom.
  • Niekedy stačí otvorenie škodlivej webovej stránky či iba Neštandardné prípady, ako útočníci obídu udeľovanie oprávnení je zneužitie logických chýb (bezpečnostných zraniteľností) v kóde.
  • Útočníci môžu získať prístup k systémom bez toho, aby inštalovali akýkoľvek program. Napríklad, môžu obísť bezpečnostné opatrenia a spustiť škodlivý kód, ktorý sa nachádza mimo bežnej inštalácie.
  • Rozlišujeme dva typy zraniteľností:
    • Zero-day  – verejnosťou neznáme zraniteľnosti, na ktoré zatiaľ neexistuje oprava (záplata). Je potrebné ich objaviť, čo sprevádza náročný proces hľadania. Tieto zraniteľnosti sú zneužívané takmer výlučne armádami a tajnými službami.
    • N-day – zraniteľnosti s už existujúcim riešením opravy (záplaty). Je známy spôsob ich zneužitia, preto je pravdepodobnejšie, že aj menej skúsený útočník ju dokáže zneužiť. Tieto zraniteľnosti sa zvyknú opravovať v aktualizáciách, preto je potrebná ich pravidelná inštalácia.
  • Proces zneužívania zraniteľnosti sa nazýva exploitácia.

Exploitácia mobilných telefónov

Vďaka množstvu bezpečnostných mechanizmov je exploitácia telefónov nesmierne zložitá. Častokrát je nutné zneužiť niekoľko zraniteľností súčasne.

Štandardne „reťaz“ zraniteľností vyzerá nasledovne:

  • Zneužitie zraniteľnosti na spustenie kódu vo webovom prehliadači.
  • Zneužitie zraniteľnosti na uniknutie zo „sandboxu“ prehliadača.
  • Niekedy sa využívajú aj ďalšie zraniteľnosti, napríklad na obídenie anti-exploitačných mechanizmov, či pretrvanie v telefóne aj po reštarte.

Aby sme to zhrnuli, v priemere je potrebné použiť 2 až 4 rôzne zraniteľnosti súčasne.