«Лаборатория Касперского» опубликовала результаты шокирующего исследования уязвимостей смартфонов: оказывается, для того, чтобы предоставить доступ к своему устройству хакерам, довольно просто поставить мобильник на зарядку. Правда, не от сетевого адаптера, а от USB-порта компьютера.
Дело в том, что при подключении к ПК всегда происходит размен данными между компьютером и устройством, смартфон опрашивается для того, чтобы компьютер мог определить возможности взаимодействия (синхронизация данных, доступ к памяти, использование в качестве модема и т.п.). Разве что на компьютер установить специализированное ПО, можно получить доступ к конфиденциальной информации. При этом такой компьютер вполне может быть расположен в общедоступном месте и замаскирован под публичную зарядную станцию; за несколько дней можно будет собрать сотни и тысячи персональных данных. При этом это не непременно обязан быть большой системный блок — довольно крошечной платы вроде Raspberry или Arduino.
В частности, с компьютера можно отправить на смартфон AT-команду, выполняющую перезагрузку в сервисном режиме с обновлением прошивки; пред этим опрос устройства позволяет определить модель и в конечном итоге «залить» на смартфон еще и программу-backdoor, встроенную непосредственно в ОС и не устраняемую штатными средствами. Это дает злодеям возможность устанавливать и устранять приложения, копировать известия, фото и видео, кэш приложений и файлов, шифровать и устранять данные и т.д. — в том числе и позднее, когда аппарат будет отключен от компьютера. При этом сам управляющий софт может быть загружен и в компьютер жертвы, как обычный «троян», и с его поддержкою будет взломано именно мобильное устройство.
Процесс перезагрузки и заливки ПО, абсолютно, занимает некоторое время, однако, как правило, люди оставляют смартфон, лежащий на зарядке, без присмотра, и поэтому вряд ли заметят, как происходит что-то неладное, либо подумают, что смартфон перезагрузился из-за «глюка» или ради установки важных обновлений. При этом распознать заражение совсем непросто, а еще труднее избавиться от бэкдора, поскольку на сей конец требуется определенная специализация (например, умение в отдельности прошить смартфон). Кроме того, «лечение» практически гарантированно избавит вас от личных данных на устройстве, придется заново все копировать и настраивать.
Случаи краж данных со смартфонов, подключенных к компьютеру, уже знамениты. Их совершала, например, кибергруппировка «Красный октябрь».
«О том, что смартфон может быть заражен через USB-порт, мир узнал еще в 2014 году на конференции Black Hat, и все же эта проблема все еще не решена. Владельцы мобильных устройств могут серьезно пострадать, ведь таким образом в систему можно внедрить все что угодно — от рекламного ПО до программы-шифровальщика. Это в состоянии сделать даже непрофессиональный хакер, ведь необходимую информацию ещё бы можно найти в Сети. Особенно таких атак следует побаиваться сотрудникам крупных компаний, ответственным за принятие решений», — рассказывает Алексей Комаров, исследователь «Лаборатории Касперского».