| 0 |
|
Масштабну прогалину в системі безпеки мобільного зв'язку, яка дозволяла зловмисникам легко фальсифікувати особистість відправника в смс-листуванні, нарешті успішно усунули в США. Авторами відкриття стала команда комп'ютерних інженерів із Каліфорнійського університету в Сан-Дієго (UC San Diego).
Вразливість загрожувала власникам смартфонів як на базі Android, так і iOS, а також клієнтам усіх провідних мобільних операторів США, включаючи Verizon, T-Mobile, Google Fi та менших віртуальних провайдерів на кшталт Mint Mobile. Дослідники презентували свою роботу на 47-му симпозіумі IEEE з безпеки та конфіденційності (IEEE Symposium on Security and Privacy), що проходив у Сан-Франциско, де їхня праця отримала престижну нагороду Distinguished Paper Award.
Джерелом уразливості стала функція відправлення текстових повідомлень через електронну пошту. Більшість великих стільникових операторів впровадили цю опцію ще на початку 2000-х років, щоб популяризувати тоді ще новий формат SMS.
Проте електронні листи та смс-повідомлення мають абсолютно різні внутрішні формати та кодування. Щоб доставити такий лист на телефон, сервери оператора змушені автоматично «перекладати» дані з однієї мовної системи на іншу. Саме в цьому процесі виникала неоднозначність, яку навчилися експлуатувати хакери.
«Електронна пошта та смс-повідомлення ніколи не проєктувалися для спільної роботи, - пояснює Стефан Севідж (Stefan Savage), професор кафедри комп'ютерних наук та інженерії UC San Diego. - Це трохи схоже на те, як читати комусь поштову листівку телефоном, намагаючись на ходу розібратися, де тут адреса відправника, де отримувача, а де власне текст».
Ситуація загострювалася, коли трансформований із пошти лист потрапляв безпосередньо на смартфон. Мобільні додатки Apple та Android зазвичай звіряють ідентифікатор відправника зі списком контактів користувача.
Використовуючи спеціальні символи, зловмисники навчилися маскувати реальну адресу своєї пошти. Додавши лише кілька знаків, вони змушували телефон інтерпретувати email-адресу як звичайний телефонний номер. В результаті хакерам вдавалося вбудовувати фейкові повідомлення всередину вже наявних легітимних діалогів із реальними людьми з телефонної книги жертви. Потерпілий бачив смс від знайомого контакту, хоча насправді це був хакерський фішинг (при цьому зловмисники не могли бачити відповіді на свої підроблені повідомлення).
«Не існує єдиних стандартів для конвертації електронних листів у тексти, і це відкриває двері для будь-яких маніпуляцій», - підкреслив Сумант Рао (Sumanth Rao), провідний автор дослідження.
Одразу після виявлення загрози науковці передали дані мобільним операторам та виробникам смартфонів для розробки захисних патчів.
Компанії Verizon, T-Mobile та Google терміново змінили принципи обробки та трансляції полів email-адрес у текстові повідомлення, щоб унеможливити підміну кодів.
Оператор Verizon пішов далі й оголосив, що повністю закриє для користувачів можливість надсилати SMS через електронну пошту. Цей процес планують завершити до кінця березня 2027 року.
Розробники софту також відзвітували про виправлення: відповідні оновлення безпеки вже закрили вразливість у додатках Google Messages на Android та Apple Messages на iPhone.
За словами дослідників, цей інцидент оголив головну проблему телекомунікаційного сектору: вся екосистема зв'язку досі будується на наївній пресупозиції, що транспортні канали передачі даних є апріорі безпечними. «Люди не усвідомлюють, що цілісність смс-повідомлень нічим не гарантована. На їхню автентичність не можна покладатися на 100%», - підсумував професор Севідж.
Стратегія охолодження ЦОД для епохи AI
| 0 |
|
