Smartphone'y z WiFi podatne na ataki

Większość popularnych obecnie smartphone'ów (w tym m.in. iPhone'a, HTC G1 czy Nokię N95) można bez problemów skutecznie zaatakować, korzystając z sieci WiFi oraz kilku powszechnie dostępnych narzędzi hakerskich - wynika z najnowszego raportu firmy SMobile Systems. Jej pracownicy sprawdzili, jaki jest poziom bezpieczeństwa urządzeń mobilnych podłączanych do publicznych punktów dostępowych WiFi.

Podczas testów wykorzystywano różne typy ataku "man-in-the-middle", polegający w tym przypadku na przechwytywaniu i modyfikowaniu danych wysyłanych przez smartphone'a do punktu dostępowego - i vice versa.

Pracownicy SMobile Systems wykorzystali laptopa z zainstalowanym zestawem aplikacji do przechwytywania i analizowania danych wysyłanych w Sieci - posłużył on do łamania zabezpieczeń urządzeń korzystających z publicznego punktu dostępowego. Testowano Nokię N95, HTC Tilt z Windows Mobile, HTC G1 z Androidem oraz iPhone'a 3GS - w każdym przypadku specjaliści zdołali przechwycić hasło i login do poczty oraz innych serwisów internetowych (wymagało to ominięcia zabezpieczeń SSL). Co więcej, żaden z atakowanych użytkowników nie zorientował się, że ktoś przechwycił jego dane.

Wśród wykorzystanych aplikacji znalazły się m.in. program Arpspoof (przekierowujący pakiety wysyłane przez "ofiarę", poprzez fałszowanie komunikatów ARP - Address Resolution Protocol), SSLStrip (narzędzie do przechwytywania ruchu HTTP), a także Ettercap, Wireshark oraz webspy (to tzw. sniffery, czyli narzędzia do przechwytywania ruchu sieciowego).

"Nasze testy wykazały, że dzięki tym aplikacjom "napastnik" mógł bez problemu zmusić atakowane smartphone'y do przesyłania wszystkich danych, które powinny trafiać bezpośrednio do punktu dostępowego, za pośrednictwem jego laptopa. Komputer był w stanie nie tylko przechwytywać wysyłane informacje, ale także modyfikować je i przesyłać dalej. A dzięki temu, że w każdym przypadku udało nam się obejść zabezpieczenie SSL, to "napastnik" mógł bez problemu wykradać wszystkie hasła - np. do poczty czy e-banku" - czytamy w raporcie.

Autorzy opracowania twierdzą, że użytkownicy smartphone'ów powinni zaopatrzyć się w narzędzie do ochrony poufnych informacji (czyli np. do szyfrowania ruchu sieciowego), a także unikać niezabezpieczonych hotspotów. Jeśli te założenia nie będą spełnione, użytkownik powinien mieć świadomość, że może stać się celem ataku przestępcy.

Więcej informacji: raport SMobile Systems.