Видео: Мультики про машинки новые серии 2017 - Кто сильнее! Лучшие мультфильмы для детей /#мультик игра (Ноябрь 2024)
В те времена, когда печатные машины были высокотехнологичными, производителям приходилось беспокоиться только о том, чтобы получить ключи в нужных точках и доставить готовую продукцию покупателям. В наши дни все объединено в сеть, и производители неожиданно несут ответственность за гораздо больше.
Современным производителям высоких технологий необходимо уметь настраивать свои устройства еще долго после того, как они покинут завод. С этой целью создатели многих популярных беспроводных продуктов, включая мобильные телефоны, используют скрытые команды для удаленного управления устройствами.
Во время своей презентации в Black Hat Мэтью Солник и Марк Бланшоу сказали, что эти скрытые элементы управления можно найти более чем в 2 миллиардах устройств по всему миру. И не только смартфоны, но и телефоны, ноутбуки, встроенные устройства M2M и даже автомобили. Практически все, что угодно с сотовым радио. Вы могли бы сказать, что это будет важная презентация, поскольку участникам несколько раз рекомендовалось отключать, а не просто отключать свои сотовые устройства.
Как это устроено
Эти функции дистанционного управления, по словам докладчиков, носят обязательный характер. «Если они хотят, чтобы они выполняли X или Y, они дают это производителям, и они реализуют эти требования», - сказал Солник, который пояснил, что большинство этих инструментов подпадают под категорию управления OMA.
Что могут сделать эти элементы управления? Большинство из них предназначены для решения проблем, которые волнуют операторов, таких как сетевые настройки вашего телефона. Некоторые из них намного мощнее и могут удаленно стирать устройства, блокировать их, устанавливать программное обеспечение, удалять программное обеспечение и так далее.
Конечно, в Black Hat все разобрано. Докладчики говорят, что, деконструируя эти скрытые элементы управления, они обнаружили основные недостатки, которые созрели для эксплуатации. Объединив уязвимости в этих инструментах, докладчики заявили, что они могут удаленно выполнять код на устройствах Android и даже могут выполнить джейлбрейк по беспроводной сети совершенно нового серийного iPhone.
Фактическое использование и даже тестирование этих уязвимостей потребовало некоторого уникального оборудования в дополнение к техническим ноу-хау. Докладчики объяснили, что иногда необходимо заставить свои тестовые телефоны думать, что они находятся в реальной сотовой сети, а не только в Wi-Fi. В других случаях им приходилось глушить диапазон LTE, чтобы обмануть телефоны, используя разные радиостанции, которые можно было бы легко использовать.
К сожалению, демоны живых демо не позволили Сольнику и Бланшоу на самом деле исполнять свои трюки на сцене. К счастью, они обещали видео, демонстрирующие их атаки.
Вы в опасности?
Обнаруженные ими уязвимости затрагивают телефоны в большинстве сетей и платформ: GSM, CDMA, LTE, Android, Blackberry, встроенные устройства M2M и iOS. Несмотря на то, что существует базовое программное обеспечение, которое влияет на все эти платформы, разбить, какая именно уязвимость или какие скрытые инструменты доступны, немного сложно. Например, большинство операторов Android в США используют эти скрытые элементы управления, но только Sprint использует их на iOS.
К счастью, исследователи говорят, что они раскрыли найденные ими уязвимости для операторов и разработчиков программного обеспечения. Патчи либо уже в игре, либо появятся очень скоро.
Это был не единственный разговор, в котором возникли проблемы с инструментами, используемыми для управления мобильными устройствами в огромных масштабах. Другая презентация Black Hat показала, что почти все программное обеспечение MDM страдает от основных уязвимостей и может создавать больше проблем, чем решает.
Хотя основные инструменты, рассмотренные Сольником и Бланшу, не совсем MDM, они достаточно близки. Но на самом деле это показывает, что эти нисходящие модели управления могут быть не такими безопасными, как мы думали.