3G-модемы и 4G USB-модемы - это угроза безопасности, говорит исследователь

Подавляющее большинство модемов 3G и 4G USB, переданных операторами мобильной связи своим клиентам, выпускаются несколькими компаний и запускают небезопасное программное обеспечение, по словам двух исследователей безопасности из России.

Исследователи Никита Тараканов и Олег Купреев проанализировали безопасность USB-модемов 3G / 4G, полученных от российских операторов в течение последних нескольких месяцев. Их результаты были представлены в четверг на конференции по безопасности Black Hat Europe 2013 в Амстердаме.

Большинство модемов 3G / 4G, используемых в России, Европе и, возможно, в других странах мира, сделаны китайскими производителями оборудования Huawei и ZTE и заклеймены с логотипами и торговыми марками мобильных операторов, сказал Тараканов. Из-за этого, даже если исследования проводились в основном на модемах Huawei у российских операторов, результаты должны быть актуальны и в других частях мира, сказал он.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с ОС Windows]

Тараканов сказал, что они не смогли протестировать атаки основной полосы на чипы Qualcomm, найденные внутри модемов, потому что в России запрещено использовать свою собственную базовую станцию ​​GSM, если вы не являетесь разведывательным агентством или оператором связи. «Нам, вероятно, придется переехать в другую страну на несколько месяцев, чтобы сделать это», - сказал он.

До сих пор многое предстоит исследовать с точки зрения безопасности оборудования. Например, система SoC (система на чипе), используемая во многих модемах, имеет возможность Bluetooth, которая отключена от прошивки, но возможно ее включить, сказал исследователь.

В настоящее время исследователи протестировали программное обеспечение, предварительно загруженное на модемах и нашел несколько способов атаковать его или использовать его в атаках.

Во-первых, легко сделать образ файловой системы USB-модема, изменить его и снова записать на модем. Тараканов сказал, что есть инструмент, доступный от Huawei для резервного копирования и восстановления модема, но есть также бесплатные инструменты, поддерживающие модемы других производителей.

Вредоносная программа, запущенная на компьютере, может обнаруживать модель и версию активного 3G-модема и может напишите изображение с вредоносными настройками, используя такие инструменты. Этот модем будет компрометировать любой компьютер, на котором он используется.

Модем содержит установщик для приложения, которое устанавливается на компьютере, а также необходимые драйверы для разных ОС. Приложение позволяет пользователю останавливать, запускать и управлять подключением к Интернету, установленным через модем.

Файлы конфигурации для установленного приложения, а также файлы установщика приложений, хранящиеся на модеме, имеют простой текст и могут быть легко модифицировано. Один параметр в файлах конфигурации определяет, какие DNS-серверы должен использовать модем для подключения к Интернету.

Злоумышленник может изменить эти записи на серверы, контролируемые злоумышленником, сказал Тараканов. Это дало бы злоумышленнику возможность направить пользователей на веб-сайты изгоев, когда они пытаются посещать законные, используя модемное соединение.

В то время как сам установщик приложений не может быть напрямую модифицирован для загрузки вредоносного ПО, поскольку это подписанный исполняемый файл, есть некоторые записи в файле конфигурации, которые могут быть использованы для этой цели.

Например, во многих файлах конфигурации есть пути к установщикам антивируса и возможность установки этих программ или нет, сказал Тараканов. Исследователь сказал, что он никогда не находил антивирусную программу, поставляемую с модемами USB, которые он тестировал, но функция там была.

Злоумышленник мог создать пользовательский образ с измененным конфигурационным файлом, который включает эту функцию и устанавливает вредоносный файл, хранящийся на модем вместо антивирусной программы. Если изображение записывается на USB-модем, каждый раз, когда пользователь будет устанавливать приложение модема, вредоносное ПО также будет установлено, сказал Тараканов.

Исследователи также обнаружили возможный вектор массовой атаки. После установки на компьютер приложение-модем, по крайней мере, один из Huawei, периодически проверяет обновления с одного сервера, сказал Тараканов. Программное обеспечение, заклейменное для конкретных операторов поиска обновлений в каталоге сервера, специфичном для этого оператора.

Злоумышленник, которому удается скомпрометировать этот сервер обновлений, может запускать массовые атаки против пользователей со стороны многих операторов, сказал Тараканов. Он сказал, что модемы Huawei 3G от нескольких разных российских операторов использовали один и тот же сервер, но могут быть другие серверы обновлений для других стран.

Тараканов сказал, что он не искал уязвимости в реальных драйверах модемов, установленных в ОС, но он ожидает, что у них будут уязвимости. По его словам, подавляющее большинство сторонних драйверов имеют уязвимости, сказал он.

Тараканов специализируется на написании и обнаружении уязвимостей в драйверах режима ядра Windows. Однако Олег Купреев был лидером в этом конкретном исследовательском проекте по модемам 3G / 4G.

Исследования в этой области только в самом начале, и есть еще что рассказать, сказал Тараканов. Кто-то должен это сделать, потому что многие новые ноутбуки поставляются с модемами 3G / 4G, которые напрямую встроены, и люди должны знать, являются ли они угрозой безопасности.