Myslíte si, že odpočúvanie je len záležitosťou špionážnych filmov či vysokých politických hier? Možno budete prekvapení... Zlou správou pre držiteľov smartfónov je skutočnosť, že stačí naozaj len málo a môžu aj vás odpočúvať...
Lákadlo pre hakerov
Dnešné mobilné telefóny sa už dávno nepoužívajú iba ako prostriedky na telefonovanie, ale obsahujú množstvo súkromných a potenciálne ľahko zneužiteľných informácií. Denne využívame rôzne aplikácie, ktoré uľahčujú život, vybavujeme pracovné e-maily, skypujeme, fotíme, natáčame či platíme účty cez internetbanking... Ani o tom netušíme, ale stávame sa tak lákavým cieľom pre hakerov, ktorí vďaka zabudovanému GPS modulu v telefóne nevyhnutnému pre fungovanie rôznych aplikácií s lokalizačnými funkciami (či už ide o mapy, navigácie alebo aj aplikácie pre športovcov, napr. na meranie krokov, spálených kalórií a pod.) môžu poľahky sledovať naše aktivity.
Bezpečnostná trhlina v SS7
Vďaka chybe v globálnej mobilnej sieti stačí skúsenému hakerovi po napichnutí siete mobilného operátora vedieť len naše telefónne číslo. Na túto skutočnosť poukázala spoločnosť Security Research Labs z Berlína, ktorá odhalila bezpečnostnú medzeru v sade protokolov Signalizačného systému 7 (SS7), ktorý slúži na pripájanie telefónnych mobilných aj pevných nosičov po celom svete. Tento systém má už viac ako 40 rokov a používajú ho stovky telekomunikačných spoločností. Denne cezeň prejdú miliardy SMS správ a hovorov, banky ho využívajú na overenie oprávnenosti zahraničných transakcií a dokonca aj roaming funguje práve vďaka SS7. Ak sa hakerom podarí haknúť niektorú zo sietí operátora, dostanú sa poľahky k množstvu citlivých informácií od SMS-siek cez lokalizačné dáta až po hlasové hovory.
Investigatívny počin Sharyn Alfonsiovej
Na príbeh redaktorky CBS New Sharyn Alfonsiovej, ktorá sa rozhodla overiť, aké ľahké je pre hakerov zneužiť túto bezpečnostnú medzeru, upozornil vo svojom článku na portáli idnes.cz novinár a fotograf Lukáš Hron. Spomínaná Sharyn pre svoju reláciu 60 Minutes oslovila predstaviteľa spoločnosti Security Research Labs – Karstena Nohla a požiadala ho o názornú demonštráciu. (Karsten Nohl má doktorát z počítačového inžinierstva a práve on je nositeľom tvrdenia, že hakerovi po preniknutí do systému operátora stačí poznať len telefónne číslo vytipovaného človeka.)
Hakerstvo v akcii
Sharyn sa dohodla na spolupráci s kalifornským kongresmanom a členom výboru dohliadajúceho na IT, Tedom Lieuom. Zakúpila nový iPhone, ktorý mu odovzdala. Kongresman ho následne používal na komunikáciu so zamestnancami, ktorých dopredu informoval o možnom odpočúvaní. A čudujte sa svete, naozaj k nemu došlo! Nohlovi a jeho tímu sa podarilo odpočúvať celý telefonický hovor medzi kongresmanom a Sharyn. Navyše získali i kompletný prehľad o všetkých telefónnych číslach účastníkov hovorov, ako aj prehľad o tom, kde sa kongresman pohyboval. Ak si hovoríte, že si jednoducho vypnete GPS na svojom smartfóne a budete v pohode, ste na omyle. Telefóny je totiž možné sledovať len na základe ich prihlasovania k vysielaču.
Vyjadrenia odborníkov sa nie vždy zhodujú...
Nohl však i napriek existujúcej bezpečnostnej chybe v sade protokolov SS7 nepovažuje situáciu za znepokojivú a pre reláciu 60 Minutes uviedol: „Útokov na mobilné telefóny pribúda v súvislosti s ich narastajúcim počtom, ale chyba v SS7 nie je spôsob, ktorým väčšina hakerov preniká do vášho telefónu.“
Kongresman Lieu nie je s týmto názorom stotožnený a podľa neho je to práve naopak veľmi znepokojujúce. Demonštroval túto súvislosť na telefonáte, ktorý viedol s prezidentom USA Barackom Obamom a v rámci ktorého diskutovali o niektorých problémoch a zdôraznil, že ak ich odpočúvali hakeri, poznajú celý obsah hovoru.
Možnosť odpočúvania hovorov vďaka chybe v SS7 je podľa Nohla v tajných službách (vrátane tých amerických) verejným tajomstvom. Predpokladá preto, že ani nebude záujem danú chybu odstrániť... Lieu nesúhlasí s takýmto konaním amerických agentúr a považuje za neprípustné tolerovanie takejto zraniteľnosti. V relácii 60 Minutes si vôbec nedával servítku pred ústa a vyhlásil, že: „Ľudia, ktorí o tomto nedostatku vedeli, by mali byť vyhodení. Nemôžeme vystaviť riziku odpočúvania telefónnych hovorov kvôli známej chybe viac ako 300 miliónov Američanov a ďalších zahraničných občanov len z dôvodu, že niektoré spravodajské služby takto môžu získať nejaké dôležité dáta. Je to neprijateľné.“
Pozor na verejné wifi siete!
Lukáš Hron sa vo svojom článku odvoláva i na tvrdenie Johna Heringa, zakladateľa spoločnosti Lookout venujúcej sa vývoju bezpečnostného softvéru, podľa ktorého je každý smartfón, notebook či počítač, bez ohľadu na druh systému, napadnuteľný. Stačí len to, aby haker poznal fintu, ako do daného systému preniknúť. Ako príklad uvádza pomerne jednoduchý spôsob, ako sa dostať k citlivým informáciám v telefóne, kedy hakerovi stačí napichnúť verejnú wifi sieť a už len čakať, kedy sa k nej niekto pripojí cez svoj telefón. Sharyl sa prihlásila k hotelovej sieti a o pár sekúnd neskôr mal Hering na svojom notebooku kompletný prehľad o jej e-mailoch i všetkých prístupových údajoch. Aby to nestačilo, videl i prehľad kreditných kariet spárovaných s jej účtom. Následne ukázal, aké jednoduché je pre hakera nainštalovať do mobilu na diaľku škodlivý malware bez toho, aby o tom majiteľ telefónu čo i len tušil. Práve takto je možné získať vzdialený prístup k čelnej kamere mobilu a mikrofónu. Takže pozor, máme aj video! Priemerný človek sa však podľa neho nemusí podobnými útokmi znepokojovať, pretože hakeri sa orientujú skôr na politikov či „veľké zvieratá“ vo významných korporáciách. Nič to však nemení na fakte, že v dnešnom technologicky pokročilom svete by sme nemali technológiám bezhlavo dôverovať...
