Odpočúvaniu telefónov napomáha aj protokol zo 70-ych rokov
Whatsapp či esemeska? Zahraničné média zaregistrovali rozsiahle ataky hackerov na mobilné zariadenia. Bezpečnostné riziko je pre zastaralý protokol používaný operátormi prakticky neobmedzené.
Približne pred rokom sa objavili viaceré správy o bezpečnostných dierach v protokole SS7, ktorý je široko používaný v pevných aj mobilných sieťach po celom svete. Denne sa cez tento systém uskutočňujú miliardy hovorov a SMS správ. Po preniknutí do siete stačí k odpočúvaniu poznať už iba telefónne číslo účastníka.
Overiť túto zraniteľnosť sa rozhodla aj redaktorka CBS News. Pre tento účel zakúpila nový mobilný telefón, ktorý poskytla americkému kongresmanovi Tedovi Lieu (člen výboru na kontrolu informačných technológií pozn. redakcie). Lieu súhlasil s použitím telefónu ku komunikácií so zamestnancami, pričom ich dopredu informoval o možnom odpočúvaní.
Redaktorka oslovila spoločnosť Security Research Labs, ktorá prostredníctvom protokolu SS7 dokázala odpočúvať celé telefóne rozhovory kongresmana Lieu a dokázala sledovať jeho pohyb, dokonca aj vtedy keď bolo na telefóne vypnuté GPS.
Vykradnuté bankové účty v Nemecku
Rovnakú zraniteľnosť využili aj hackeri v Nemecku. Najskôr prostredníctvom útokov cez malware identifikovali bankové účty, prihlasovacie údaje, heslá a zostatky na účtoch. Následne prostredníctvom SS7 dokázali presmerovať SMS správy, ktorými banky zasielajú klientom jednorazové heslá na potvrdenie transakcií. Tým dokázali previesť finančné prostriedky z vytipovaných bankových účtov.
Prečo nebola táto chyba už opravená, keď je známa už niekoľko rokov? Prečo sa protokol SS7 stále používa?
SS7 bol navrhnutý a implementovaný v 70. rokoch, kedy rozšírenie mobilných technológií bolo neporovnateľne menšie ako v súčasnosti. Odvtedy sa protokol rozšíril do väčšiny telefónnych sieti a jeho náhrada by nebola jednoduchá. Či bola pôvodná chyba len nedopatrením a riziko si v tej dobe nikto neuvedomoval, alebo išlo o úmysel nie je podstatné. SS7 existuje a dodnes sa používa takmer v každom jednom telefóne.
Čítajte aj:
Medzi odporúčané ubytovanie pre Moslimov sa dostali aj slovenské hotely
Slovenský Smart Post má nového majiteľa
Mnoho odborníkov nepovažuje problém protokolu SS7 za vážny, pretože sú známe aj iné spôsoby ako odpočúvať mobilné telefóny. Vyriešením chyby v SS7 sa nevyrieši problém s odpočúvaním telefónnych hovorov a SMS správ.
Čo však problém SS7 robí skutočne závažným je jeho nezávislosť na platforme. Väčšina útokov na mobilné zariadenia spočíva vo využívaní slabín jednotlivých operačných systémov ako Android, iOS, Windows Mobile alebo BlackBerry . Z toho právom vznikajú diskusie, či je jeden z operačných systém bezpečnejší ako druhý. SS7 je však súčasťou komunikačných protokolov, ktoré musia byť v každom jednom mobilnom zariadení. Dokonca aj v tých ktoré nie sú označované za „smart“.
Ako sa chrániť pred odpočúvaním?
Pred vykradnutím bankového účtu, podobne ako sa stalo v Nemecku, sa bežný užívateľ nemá ako chrániť. Zrejme nepresvedčíte banku, že spôsob ich zabezpečenia je nedostatočný. Aj keď na druhej strane, by všetky straty mali byť klientom kompenzované, keďže útoky sa stali vinou banky. Užívateľ sa tiež nemá ako chrániť v prípade prichádzajúcich štandardných GSM hovorov alebo SMS správ.
Užívateľ si môže chrániť aspoň vlastné hovory a správy. A to tak, že nahradí používanie štandardných hlasových služieb a SMS správ poskytovaných mobilným operátorom, aplikáciou ktorá poskytuje šifrovanú komunikáciu.
Odolnosť voči útokom cez SS7 poskytujú aj aplikácie typu Whatsapp, Telegram, Signal a podobne, ktoré sú zadarmo. Tieto aplikácie poskytujú istú základnú úroveň bezpečnosti. Pokiaľ je ochrana vašej komunikácie a vášho súkromia kľúčová, musíte si zvoliť aplikáciu, ktorá rieši bezpečnosť komplexne a spĺňa vaše potreby.
Michal Palát, autor pracuje v oblasti bezpečnosti mobilnej komunikácie
Zaregistrujte sa a získajte exkluzívne info z Biztweetu. Ak ho chcete iba podporiť, posilnite nezávislú žurnalistiku na účte IBAN CZ8920100000002100602454. Ďakujeme