Ранее этим летом ][ посвятил IMSI-перехватчикам отдельную и подробную статью, в которой мы разбирали принципы работы таких устройств, их эффективность, а также рассматривали способы защиты. Напомню, что эти устройства широко применяются как спецслужбами, так и «плохими парнями». Они используют конструктивную особенность мобильников — отдавать предпочтение той сотовой вышке, чей сигнал наиболее сильный (чтобы максимизировать качество сигнала и минимизировать собственное энергопотребление). Кроме того, в сетях GSM (2G) только мобильник должен проходить процедуру аутентификации (от сотовой вышки этого не требуется), и поэтому его легко ввести в заблуждение, в том числе, чтобы отключить на нем шифрование данных.

Мы уже писали, что несмотря на немалое количество «защитных» Android-приложений на рынке, которые должны предупреждать пользователя о подключении к IMSI-кетчеру, большинство из них нельзя назвать качественными. Кроме того, такие приложения часто приводят к множеству ложных срабатываний (как правило, из-за недостаточной технической квалификации их разработчиков).

Теперь на конференции USENIX собираются представить доклад, посвященный этой проблеме и полностью подтверждающий наши выводы. Приложения для защиты от IMSI-перехватчиков изучила сводная группа специалистов из Оксфордского университета и Берлинского технического университета. Исследователи проверили работу пяти популярных программ: SnoopSnitch, Cell Spy Catcher, GSM Spy Finder, Darshak и IMSICD, которые насчитывают от 100 000 до 500 000 загрузок в Google Play.

Для проведения тестов специалисты создали собственный фреймворк White-Stingray, способный осуществлять атаки на 2G и 3G сети. По сути, разработка исследователей является весьма «натуралистичной» имитацией коммерческих IMSI-перехватчиков.

Тестирование приложений показало, что те крайне редко замечают подозрительную активность и способны обнаружить лишь самые распространенные и простые техники атак. К примеру, приложения фиксируют принудительный даунгрейд подключения или получение «скрытого» текстового сообщения, которое используется для определения местоположения устройства. Но специалисты пишут, что атакующим достаточно переключиться на другую технику атак, и приложения окажутся практически бессильны. Причем мешают приложениям ограничения самого API Android, с которыми мало что можно поделать.

«Сейчас представленные на рынке приложения ICD [IMSI catcher detector] легко обмануть, используя простейшие техники обхода, так как они сильно ограничены и не имеют доступа к лежащему в основе мобильных телефонов аппаратному обеспечению. Следовательно, нужно понимать, что ICD-приложения – это не серебряная пуля в силу данных фундаментальных ограничений», — пишут специалисты.

Полная версия доклада уже была опубликована в сети. Ознакомиться с ней можно здесь.



4 комментария

  1. Владиславище

    17.08.2017 at 01:42

    Нужно чётко понимать, что аппаратная часть всегда круче программной (читай: программы пишутся под железо, а не наоборот). Глупо даже думать что программка защитит от слежки или прослушки… силовые структуры сильны. Всегда рулит только комплексный подход к безопасности, и так во всех областях жизнедеятельности ХомоСапиенса.

  2. john_

    20.08.2017 at 05:01

    Даже у стен есть уши — обретает новый смысл.

Оставить мнение