Bluetooth w telefonie = zagrożenie dla informacji?

Większość dostępnych w tej chwili na rynku telefonów komórkowych wyposażonych w obsługę protokołu Bluetooth jest kiepsko zabezpieczona przez atakami hakerów, którzy bez problemu mogą uzyskać dostęp do telefonu i wykraść zapisane w jego pamięci dane lub nawet nawiązywać połączenie bez wiedzy użytkownika. Do takich wniosków doszli eksperci z zakresu telekomunikacji - Adam Laurie z firmy AL Digital oraz Martin Herfurt, naukowiec Salzburg Research. Obaj panowie podczas krótkiej prezentacji, która odbyła się na konferencji Defcon12, zademonstrowali, jak łatwo można 'zhakować' współczesne telefony.

Obaj panowie za pomocą kilku stworzonych przez siebie programów, telefonu komórkowego z obsługą Bluetooth oraz komputera bez problemu uzyskali nieautoryzowany dostęp do telefonów wyprodukowanych m.in. przez Nokię oraz Sony Ericsson.

Dziury są wszędzie

Martin Herfurt zdołał w kilka minut przesłać do 'atakowanego' telefonu wiadomość, która natychmiast wyświetliła się na ekranie aparatu, pobrać z niego wszystkie przechowywane w pamięci informacje (dane z kalendarza, wiadomości SMS, kontakty, numery telefonów itp) oraz 'zmusić' telefon do nawiązania połączenie z wybranym przez siebie numerem. Herfurt tłumaczył, że ten ostatni atak - nazwany przez niego "BlueBugging" - jest potencjalnie najbardziej niebezpieczny dla użytkownika, szczególnie, jeśli 'napastnik' wymusi nawiązanie połączenie z numerami o podwyższonej płatności. Dodatkowe zagrożenie jest fakt, że aby wykorzystać ten mechanizm, atakujący wcale nie musi pozostawać w zasięgu protokołu Bluetooth (czyli ok. 10 m) - wystarczy, że on sam oraz cel ataku będą pozostawać w zasięgu sieci komórkowej.

Zobacz również:

Zdaniem ekspertów, niebezpieczny może się również okazać coraz powszechniejszy zwyczaj przechowywania w pamięci telefonu komórkowego cennych informacji - haseł dostępu, czy PINów (niektóre aparaty oferują nawet specjalne aplikacje do ich przechowywania).

Bluetooth jest wszędzie

Jednym z elementów prezentacji było również zaprezentowanie eksperymentu, przeprowadzonego przez Adama Laurie w londyńskim metrze - stojąc na peronie z notebookiem Laurie wykrył 336 telefonów wyposażonych w obsługę Bluetooth, z których co najmniej 77 było na pewno podatnych na atak.

Podobny eksperyment przeprowadzono później w brytyjskim Parlamencie - tam wykrycie podatnego na atak telefonu zajęło ok. 14 minut.

"Z naszych testów wynika, że nawet 70% wyposażonych w obsługę Bluetooth telefonów może być podatnych na którąś z opracowanych przez nas metod ataku" - tłumaczy Martin Herfurt. Naukowiec dodał również, że istnieją jeszcze groźniejsze sposoby na zaatakowanie telefonu z Bluetooth - przypomniał m.in. wykrytą przez firmę lukę w zabezpieczeniach implementacji protokołu Bluetooth w kilku modelach telefonów komórkowych. Błąd ten umożliwiał nieautoryzowanym użytkownikom przechwytywanie i odczytywanie kodowanej transmisji Bluetooth.

Standardowo niebezpieczne

Eksperci zwracają uwagę na fakt, iż hakowaniu telefonów sprzyja to, że ich użytkownicy często pozostawiają aktywną obsługę Bluetooth, nawet jeżeli w danej chwili nie korzystają z tego protokołu. Ma to pewne zalety - dzięki temu telefon natychmiast wykryje włączony zestaw słuchawkowy czy inne akcesoria. Problem jednak w tym, że w takiej sytuacji telefon może zostać zaatakowany - i to nie koniecznie przez osobę znajdującą się w zasięgu wzroku posiadacza telefonu. Niebezpieczną tendencją jest również standardowe uaktywnianie przez producentów protokołu Bluetooth.

Doświadczenia przeprowadzone przez Adama Laurie i Martina Herfurta wykazały, że, mimo iż zwykle zasięg urządzeń wyposażonych w Bluetooth nie przekracza 10 m, to jednak często udaje się nawiązać połączenie na znacznie większą odległość - podłączenie do notebooka niewielkiej, ale za to silnej anteny pozwoliło nawiązać połączenie z telefonem znajdującym się w odległości 90 m.

Podstawowym, sugerowanym przez ekspertów, sposobem zabezpieczenia się przed atakami za pośrednictwem Bluetooth jest wyłączanie protokołu, jeśli użytkownik akurat z niego nie korzysta.

Zobacz również