Video: 10 Mobiele Telefoons van de TOEKOMST waarover Niemand mag Weten (November 2024)
In de tijd dat typemachines geavanceerd waren, hoefden fabrikanten zich alleen zorgen te maken over het op de juiste plek krijgen van de sleutels en het leveren van de eindproducten aan klanten. Tegenwoordig is alles verbonden en zijn fabrikanten opeens voor nog veel meer verantwoordelijk.
Moderne hightech-fabrikanten moeten aan hun apparaten kunnen sleutelen lang nadat ze de fabriek hebben verlaten. Daartoe gebruiken de makers van veel populaire draadloze producten - inclusief mobiele telefoons - verborgen opdrachten om apparaten op afstand te bedienen.
Tijdens hun Black Hat-presentatie zeiden Mathew Solnik en Marc Blanchou dat deze verborgen besturingselementen op meer dan 2 miljard apparaten wereldwijd te vinden zijn. En niet alleen smartphones, maar ook telefoons, laptops, ingebedde M2M-apparaten en zelfs auto's. Vrijwel alles met een mobiele radio. Je kon zien dat het een belangrijke presentatie zou worden, omdat bezoekers verschillende keren werden geadviseerd om af te sluiten en niet alleen hun mobiele apparaten uit te zetten.
Hoe het werkt
Deze functies voor afstandsbediening zijn volgens de presentatoren verplicht. "Als ze X of Y willen, geven ze het aan de fabrikanten en implementeren ze die vereisten, " zei Solnik, die verklaarde dat de meeste van deze tools onder de categorie OMA-beheer vallen.
Wat kunnen deze bedieningselementen doen? De meeste zijn ontworpen om te spelen met dingen waar providers zich zorgen over maken, zoals de netwerkinstellingen op uw telefoon. Sommige zijn veel krachtiger en kunnen apparaten op afstand wissen, vergrendelen, software installeren, software verwijderen, enzovoort.
Bij Black Hat wordt natuurlijk alles uit elkaar getrokken. De presentatoren zeggen dat ze, door deze verborgen besturingselementen te deconstrueren, onderliggende gebreken hebben gevonden die rijp zijn voor exploitatie. Door kwetsbaarheden in deze tools aan elkaar te rijgen, zeiden de presentatoren dat ze op afstand code konden uitvoeren op Android-apparaten en zelfs een jailbreak uit de ether van een gloednieuwe stock-iPhone konden uitvoeren.
Om deze kwetsbaarheden daadwerkelijk te exploiteren en zelfs te testen, was naast technische knowhow enige unieke hardware vereist. De presentatoren legden uit dat het soms nodig was om hun testtelefoons te laten denken dat ze op een echt mobiel netwerk zaten, niet alleen wifi. Andere keren moesten ze de LTE-band blokkeren om de telefoons te misleiden om verschillende radio's te gebruiken die gemakkelijker konden worden benut.
Helaas hebben de demonen van live demo's verhinderd dat Solnik en Blanchou daadwerkelijk hun trucjes op het podium konden uitvoeren. Gelukkig hebben ze video's beloofd die hun aanvallen aantonen.
Loopt u risico?
De kwetsbaarheden die ze hebben ontdekt, zijn van invloed op telefoons op de meeste netwerken en platforms: GSM, CDMA, LTE, Android, Blackberry, ingebedde M2M-apparaten en iOS. Hoewel er onderliggende software is die al deze platforms beïnvloedt, is de uitsplitsing van precies welke kwetsbaarheid of welke verborgen tools beschikbaar zijn, een beetje lastig. De meeste Android-providers in de VS gebruiken bijvoorbeeld deze verborgen besturingselementen, maar alleen Sprint gebruikt ze op iOS.
Gelukkig zeggen de onderzoekers dat ze de kwetsbaarheden die ze hebben ontdekt, hebben bekendgemaakt aan de providers en de softwareontwikkelaars. Patches zijn al in het spel of zullen zeer binnenkort zijn.
Dit was niet het enige gesprek dat problemen opleverde met de tools die werden gebruikt om mobiele apparaten op grote schaal te bedienen. Een andere Black Hat-presentatie toonde aan dat bijna alle MDM-software leed aan onderliggende kwetsbaarheden en mogelijk meer problemen veroorzaakt dan het oplost.
Hoewel de onderliggende tools die door Solnik en Blanchou zijn onderzocht, niet helemaal MDM zijn, is het dichtbij genoeg. Maar wat het echt laat zien, is dat deze top-down modellen voor besturing misschien niet zo veilig zijn als we dachten.
