Злоумышленники могут получить доступ к секретным данным, и пользователь даже не узнает об этом
Технология Bluetooth позволяет осуществлять обмен данными между мобильными телефонами, карманными компьютерами, ноутбуками и целым рядом других портативных устройств |
Будьте осторожны, включая в следующий раз свой телефон, поддерживающий технологию Bluetooth. Вы можете приоткрыть дверь злоумышленнику, который получит возможность похитить конфиденциальную информацию из вашей адресной книги или просто воспользоваться вашим телефоном — а платить за это придется вам.
Специалисты по безопасности из Великобритании обнаружили в некоторых телефонах, оснащенных интерфейсом Bluetooth, серьезные бреши. Одному из производителей таких аппаратов — корпорации Nokia направлено обращение с просьбой принять профилактические меры.
«Мы смогли разработать механизм, позволяющий подключаться к телефонам с интерфейсом Bluetooth и считывать информацию конфиденциального характера (например, адресные книги, календари и другие приложения) без стандартного установления и разрыва соединения между устройствами, — отметил технический директор компании A.L. Digital Адам Лори. — Мы можем получить доступ к секретным данным, и пользователи даже не узнают о том, что в их системе кто-то побывал».
В A.L. Digital выявили серьезные бреши в четырех моделях телефонов Nokia: 6310, 6310(i), 8910 и 8910(i). Аналогичные недостатки обнаружены и в телефонах, выпущенных компанией Sony Ericsson. Они присущи моделям R520, T68i, T610, Z600 и Z1010.
Технология Bluetooth позволяет осуществлять обмен данными между мобильными телефонами, карманными компьютерами, ноутбуками и целым рядом других портативных устройств. Связь поддерживается на расстоянии нескольких метров. До сих пор единственным слабым местом в системе безопасности Bluetooth считался механизм bluejacking (анонимная отправка сообщения на одно или несколько видимых устройств) — набирающее популярность средство обмена сообщениями из трех-четырех слов, которые отображаются на дисплее в области идентификации устройства, инициировавшего сеанс. По сути, эта процедура позволяет устанавливать связь, не открывая сеанса, при котором абоненты должны обменяться своими PIN-кодами.
По словам Лори, он и его коллеги из A.L. Digital обнаружили даже не одну, а две бреши в системе безопасности. Речь идет об атаках типа bluesnarf и backdoor.
Путем атаки bluesnarf Лори, минуя процедуру открытия сеанса, подключался к телефону с поддержкой Bluetooth и по существу взламывал устройство и похищал хранящиеся в нем данные или манипулировал ими.
Цель атаки backdoor заключается в установлении доверительных отношений с помощью механизма сеансовой связи. В дальнейшем полученная во время сеанса информация используется для установления анонимного соединения. Процедура предусматривает участие людей, которые сначала определяют персональный идентификационный номер, а затем вводят этот номер в каждое из устройств при инициировании сеанса.
Ситуация осложняется, если одно из «доверенных» лиц решит использовать хакерский метод backdoor для сокрытия идентификационных данных и получения неавторизованного доступа к устройству. «Если вы не посмотрите в этот момент на свой телефон и не заметите появления маленькой пиктограммы, свидетельствующей об установлении соединения, вы даже не узнаете, что кто-то получил доступ к вашему устройству», — пояснил Лори.
Представители Nokia заявили, что им не известно об атаках, направленных против телефонов с поддержкой технологии Bluetooth, и выразили сомнение в том, что система безопасности этих аппаратов будет подвергаться массированным ударам.
Дополнительную информацию об уязвимых местах в системе без?опасности, обнаруженных A.L. Digital, можно почерпнуть на сайте www.bluestumbler.org.