W niemal wszystkich wersjach systemu Android istnieje podatność, która umożliwia zdalne przejęcie kontroli nad systemem operacyjnym telefonu za pomocą odpowiednio przygotowanej wiadomości MMS zawierającej wideo.

Android jest obecnie najpopularniejszym mobilnym systemem operacyjnym na świecie, pod jego kontrolą pracuje około 80% wszystkich smartfonów. W większości z tych telefonów działa podatna biblioteka odpowiedzialna za przetwarzanie wideo. Aby zdalnie przejąć kontrolę nad systemem lub załamać jego pracę wystarczy odpowiednio spreparowana wiadomość MMS.

Istota problemu

Jeśli użytkownik korzysta z aplikacji Hangouts albo Messenger, to problem jest bardzo poważny, gdyż w obu przypadkach aplikacja pobiera wideo, zapisuje i przetwarza je automatycznie, by film był od razu dostępny w galerii. Działanie eksploita jest niewidoczne i w ten sposób można przejąć kontrolę nad całym systemem telefonu, włączając w to przechwycenie dźwięku i obrazu za pomocą mikrofonu i kamery w aparacie.

O aktualizacje będzie bardzo trudno, gdyż nawet jeśli Google szybko przygotuje łatę usuwającą tę podatność (co już się stało – załatana biblioteka jest w repozytoriach github), to za dostarczenie aktualizacji dla telefonów odpowiada producent. Nie sądzę, by producenci postanowili wprowadzić aktualizacje dla tych urządzeń, które dawno utraciły wsparcie techniczne.

Obejście problemu

Problem można jednak obejść, ale wymaga to wyłączenia obsługi MMS przez aplikację Hangouts oraz Messenger (tak naprawdę najlepszym wyjściem jest odinstalowanie Hangouts) a następnie wyłączenia w natywnym kliencie MMS automatycznego pobierania wiadomości MMS. Filmy w wiadomościach MMS należy wtedy pobierać i otwierać tylko od zaufanych osób, podobnie jak to czynimy dziś z wiadomościami e-mail zawierającymi załączniki.

MMS autoretrieve

Wyłączenie automatycznego odbierania wiadomości MMS w kliencie. Tutaj na przykładzie telefonu obsługującego dwie karty SIM.

Do czego złodzieje mogą ten błąd wykorzystać

Podatność tej klasy w najpopularniejszym systemie mobilnym na świecie umożliwia powszechne infekcje telefonów za pomocą złośliwego oprogramowania. W pierwszej kolejności będą to pewnie różne odmiany ZeuSa lub innych tak zwanych „trojanów bankowych” przeznaczone do kradzieży jednorazowych haseł SMS służących do autoryzacji transakcji w systemach bankowości elektronicznej. Zdalne zainfekowanie telefonu otwiera nowe możliwości działań złodziejom. Przykładowy scenariusz kradzieży mógłby wyglądać tak:

  1. Złodziej za pomocą stacjonarnego konia trojańskiego przechwytuje informacje niezbędne do zalogowania do systemu transakcyjnego ofiary, a następnie:
  2. Infekuje telefon ofiary za pomocą odpowiednio spreparowanej wiadomości MMS,
  3. Dysponując kompletem uwierzytelnienia stacjonarnego i mobilnego loguje się z komputera ofiary do systemu bankowości elektronicznej,
  4. Wykonuje przelew lub modyfikuje numer konta zaufanego odbiorcy,
  5. Jeśli jeszcze nie zrobił przelewu, po upływie pewnego czasu loguje się do systemu bankowości elektronicznej za pomocą trojana na komputerze ofiary, autoryzując przelew SMSem jeśli potrzeba. Ma kontrolę nad telefonem ofiary

Wujek dobra rada

Możliwość zdalnej, nienadzorowanej infekcji najpopularniejszej platformy mobilnej na świecie oznacza, że trzeba inaczej spojrzeć na bezpieczeństwo transakcji w systemach bankowości elektronicznej. Oznacza to także, że rada, której od dawna udzielałem użytkownikom internetowych systemów transakcyjnych jest nadal aktualna.

Brzmi ona:

Do autoryzacji w systemie bankowości elektronicznej korzystaj wyłącznie z bardzo prostego telefonu, który nie służy do niczego innego, a jego numer nie jest znany nikomu poza tobą i bankiem.

Jeśli w szufladzie leży zapomniana Nokia 6310i, to pora ją odkurzyć i wymienić baterię, a do zatwierdzania transakcji zakupić nową kartę SIM z nowym numerem, który do niczego innego nie będzie służył. To może być nawet zarejestrowany prepaid z roczną ważnością konta. Nie będzie problemu z kosztami, gdyż nawet w roamingu odbieranie SMS nie wiąże się z żadnymi opłatami.

Został tylko BlackBerry OS
Poważne luki obserwowaliśmy kilka razy w telefonach Apple’a, w których wystarczyło wysłać SMS (najnowsze zgłoszenie podobnego błędu miało miejsce pod koniec maja 2015r.), a także w starszych smartfonach Nokii z systemem Symbian S60 (był nawet wirus roznoszący się tą drogą, ale nie zyskał dużej popularności, gdyż usługi MMS w Polsce były wtedy mało rozpowszechnione, głównie z racji na koszt tej usługi i kłopotliwą konfigurację punktu dostępu APN). Komercyjny klient SMS/MMS dla Windows Mobile 2003 również miał zbliżoną podatność. Jedynym systemem, który nie miał w swojej historii błędu tego kalibru był BlackBerry OS.

Źródło – npr.org