Більшість мобільних дзвінків у всьому світі здійснюються за стандартом Global System for Mobile Communications. Дослідники виявили недолік стандарту GSM, який дозволяє хакерам слухати Ваші дзвінки.

На конференції з безпеки DefCon у Лас-Вегасі дослідники з BlackBerry представили атаку, яка може перехоплювати GSM-дзвінки, коли вони передаються в ефірі, а потім розшифрувати їх, щоб прослухати. Більше того, ця уразливість існує вже десятиліття.

Звичайні GSM-дзвінки шифруються, тому випадкові люди не можуть просто налаштовуватися на телефонні дзвінки по радіо, як на радіостанцію. Однак дослідники виявили, що вони можуть орієнтуватися на алгоритми шифрування, які використовуються для захисту дзвінків і прослуховувати будь-що.

“GSM – це добре задокументований і проаналізований стандарт, але це стандарт старіння, і він мав досить типову подорож у кібербезпеці”, – говорить Кемпбел Мюрей, глобальний керівник відділу з питань кібербезпеки BlackBerry. “Ми виявили недоліки в будь-якій реалізації GSM до 5G. Незалежно від того, яку реалізацію GSM Ви використовуєте…”.

Проблема полягає в обміні ключами шифрування, який встановлює захищений зв’язок між телефоном та сусідньою стільниковою вежею щоразу, коли Ви ініціюєте дзвінок. Цей обмін дає як пристрою, так і вежі ключі, щоб розблокувати дані, які збираються зашифрувати. Аналізуючи цю взаємодію, дослідники зрозуміли, що в тому, як написана документація GSM, у механізмах управління помилками є недоліки, що регулюють спосіб кодування ключів. Це робить ключі уразливими до атак.

У результаті хакер може налаштувати обладнання для перехоплення з’єднань дзвінків у певному місці, обміну ключами між телефонами та базовими станціями стільникового зв’язку, а потім використати ключі для розшифровки дзвінків.

Дослідники підкреслюють, що оскільки GSM є старим і ретельно проаналізованим стандартом, тому вже і є атаки проти нього, які легше здійснити на практиці, як-от використання базових станцій для перехоплення дзвінків або відстеження мобільних телефонів. Додаткові дослідження сімейства шифрів A5 протягом багатьох років виявили і інші вади. І є способи налаштувати шифрування обміну ключами, які б ускладнювали злам ключів.

В підсумку можна сказати, що GSM має реальні  проблеми із конфіденційністю дзвінків, особливо, якщо зважати на те, що ним користується переважна більшість країн світу.

До речі, дослідники з компанії Palo Alto Networks виявили 34 мільйони уразливостей в великих хмарних сервісах. За словами фахівців, проблеми з’явилися не з вини провайдерів, а через додатки, які розгортають клієнти в хмарі.

Нагадаємо, з мобільними додатками для Android можна буде працювати за комп’ютером із Windows або macOS. Так, під час заходу Samsung Unpacked 2019 корейський гігант представив додаток Samsung DeX for PC.

Також компанія Microsoft заблокувала установку оновлень для Windows 7 і Windows Server 2008 R2, підписаних за допомогою сертифіката SHA-2, на пристроях із встановленими антивірусними продуктами Symantec або Norton.

Стало відомо, що в п’ятницю, 9 серпня, на конференції для розробників генеральний директор споживчого напрямки Huawei Річард Юй (Richard Yu) здивував аудиторію, презентувавши “HarmonyOS”, яка, за його словами, є більш швидкою і безпечною системою, ніж Android.

Окрім цього, дослідник із безпеки виявив уразливості в низці пристроїв, експлуатація яких дозволяє перетворити девайс у “наступальну” низькосортну кіберзброю.

Фахівці Microsoft виявили в Remote Desktop Services (RDS) чотири нові критичні уразливості на зразок нещодавно виправленій BlueKeep.

Зверніть увагу, Android-пристрої можуть постачатися із вбудованим шкідливим ПЗ і бекдорами через недостатній контроль виробників і постачальників.

Дослідники з безпеки з Pen Test Partners виявили численні уразливості в маршрутизаторах 4G від різних компаній, експлуатація яких дозволяє отримати доступ до конфіденційної інформації користувачів.

Facebook платила сотням сторонніх підрядників за розшифровку аудіозаписів користувачів своїх сервісів. Про це повідомили виданню Bloomberg співробітники, які побажали зберегти анонімність.

Автор: Валентин Семенюк