Nová zraniteľnosť v smartfónoch umožňuje sledovať polohu zariadenia cez SMS správy. Opraviť chybu nebude možné tak skoro
Nový výskum odhaľuje znepokojivú slabinu v Android smartfónoch, pomocou ktorej vás môže niekto sledovať cez SMS správy. Oprava nebude ľahká.
Výskumník z Northeastern University objavil nový spôsob, ako môžu kyberzločinci sledovať polohu smartfónu cez SMS správy.
Útočníkovi stačí len vaše mobilné číslo a prístup k normálnej sieti. Pomocou toho dokážu sledovať obeť aj v rôznych oblastiach po celom svete. SMS správy začali pred približne 30 rokmi a odvtedy sa ich bezpečnosť výrazne zlepšila. Stále však platí, že keď vám príde správa, vaše zariadenie pošle odosielateľovi notifikáciu. Tá potvrdzuje, že ste správu dostali.
Ak útočník pošle na vaše zariadenie viac správ, načasovanie notifikácie o prijatí správy mu umožňuje zistiť, kde sa váš smartfón nachádza. Táto metóda funguje bez ohľadu na to, či sú vaše správy šifrované alebo nie. Načasovanie automatického upozornenia o doručení správy v sebe ukrýva jedinečný odtlačok, prostredníctvom ktorého môže potenciálny kyberzločinec zistiť vašu polohu. Tento odtlačok však až doteraz nebol problém. Autor novej štúdie pomocou strojového učenia vytvoril algoritmus schopný tieto signály zachytiť.
„Keď si útočník pripraví model s umelou inteligenciou, potom je pripravený poslať niekoľko SMS správ. Výsledky sa nahodia do modelu a ten útočníkovi poskytne odhadnutú polohu,“ tvrdí Evangelos Bitsikas, autor štúdie.
Zatiaľ sa neobjavili žiadne dôkazy, ktoré by naznačovali, že kyberzločinci túto slabinu objavili a momentálne ju aktívne využívajú. Táto slabina sa objavuje na Android zariadeniach. Bitsikas však upozorňuje, že v budúcnosti sa môže situácia zmeniť. Zároveň však podotýka, že vykonanie takéhoto útoku vo väčšej škále by bolo náročné. Potenciálny útočník by musel mať Android zariadenia v niekoľkých oblastiach, musel by posielať správy každú hodinu a prepočítavať odpovede. Celý proces získavania dát môže zabrať dni až týždne, v závislosti na tom, koľko informácií chce útočník získať.
Sledovanie v praxi
Znamená to, že bežný človek sa s najväčšou pravdepodobnosťou nemusí potenciálneho útoku obávať. Túto slabinu by však mohli zneužiť veľké spoločnosti, ktoré majú k dispozícii obrovské množstvo finančných prostriedkov. Prostredníctvom slabiny by mohli nájsť vládnych predstaviteľov, aktivistov či generálnych riaditeľov konkurenčných spoločností. Prakticky každú osobu, ktorá chce držať v tajnosti, kde sa nachádza.
Neprehliadnite
„My sme len výskumníci s obmedzenými možnosťami a nie sme expertmi v dátových vedách. Bojím sa však, že tento útok by mohli využiť oveľa nebezpečnejší útočníci, hackerské skupiny, štátom sponzorované agentúry, polícia a iné. Tieto organizácie by mohli útokom napáchať väčšie škody,“ vysvetľuje Bitsikas.
Slabina stále na zariadeniach existuje. Ak by malo dôjsť k náprave, musel by sa prekopať celý globálny SMS systém. V budúcnosti kompetentné organizácie vykonajú protiopatrenia, no tie toto rizikové okno nezatvoria úplne. Pre potenciálnych kyberzločincov však bude náročnejšie vykonať tento druh útoku.
Nejde o druh problému, ktorý by sa mohol vyriešiť bezpečnostnou aktualizáciou. Do útoku sú zapojené siete, ktoré nemožno okamžite vymeniť po celom svete. Autor štúdie vo výskume pokračuje aj naďalej a do budúcna chce zistiť, aký presný by model na základe SMS správ mohol byť.
Komentáre