Вход |  Регистрация
 
 
Время электроники Воскресенье, 15 сентября
 
 


Это интересно!

Новости


Обзоры, аналитика


Интервью, презентации

Ранее

IDC: мировой рынок серверов после трех лет роста обвалился на 10% за квартал

Глобальный серверный рынок, стремительно увеличивавшийся с конца 2016 г., рухнул за квартал более чем на 10%. Неопределенное будущее экономики вынуждает экономить на закупке серверов как облачных провайдеров, так и корпоративных заказчиков.

Революционный стандарт USB4: в 8 раз быстрее уже в 2020 году

USB4 станет новым стандартом универсального интерфейса USB. Основанный на Intel Thunderbolt 3, он обеспечивает в восемь раз более высокую пропускную способность в сравнении с USB 3.0 – 40 Гбит/с против 5 Гбит/с. Первые устройства с новым интерфейсом будут готовы к концу 2020 г.

Новый iPhone установил рекорд производительности

В базе данных популярного бенчмарка Geekbench было замечено устройство под кодовым названием iPhone 12,1, которое работает под управлением операционной системы iOS 13.1.

Реклама

По вопросам размещения рекламы обращайтесь в отдел рекламы

Реклама наших партнеров

 

5 сентября 2019

Гаджеты Samsung, Huawei, LG и Sony можно взломать всего одним SMS

Samsung, Huawei, LG и Sony не обеспечили безопасный прием сообщение с настройками, которые приходят на смартфоны от мобильных операторов. В результате у хакеров появилась возможность подделать такое сообщение и перенаправить почту или трафик жертвы на вредоносный сервер.

Х

акеры могут подделывать SMS-сообщения с настройками, которые обычно приходят от мобильного оператора, и благодаря этому обманом заставлять пользователя изменить настройки устройства. В результате они могут добиться перенаправления почты или интернет-трафика жертвы на вредоносный сервер. Под угрозой находятся смартфоны Samsung, Huawei, LG и Sony под управлением Android, сообщают специалисты ИБ-компании Check Point.

Речь идет об SMS-сообщениях клиентского обеспечения, сформированных по стандарту Открытого мобильного альянса (Open Mobile Alliance Client Provisioning, OMA CP). Это специальный тип сообщений, который содержит сетевые настройки. В этих SMS пользователю достаточно нажать одну кнопку, чтобы присланные настройки были установлены на устройство.

Сотовые операторы обычно присылают такие сообщения на все новые аппараты, появившееся в сети. Такие же сообщения приходят, если оператор что-то поменял в своих внутренних системах.

Кроме мобильных операторов, сообщения OMA CP могут приходить и от других инстанций. Например, крупные компании, у которых есть собственный телефонный парк, используют OMA CP для развертывания почтовых или прокси-настроек на всех устройствах. Получив такое сообщение, пользователь меняет настройки доступа к почте или интранет-порталу.

Исследователи Check Point выяснили, что четыре крупных производителя смартфонов — Samsung, Huawei, LG и Sony — реализовали стандарт OMA CP на своих устройствах небезопасным способом. Их аппараты принимают сообщения OMA CP, которые были присланы не из доверенного источника.

Легче всего оказалось атаковать Samsung — смартфоны этого производителя принимают любые виды сообщений OMA CP без какой-либо аутентификации или верификации. Аппараты Huawei, LG и Sony защищены чуть-чуть лучше — они по крайней мере требуют от отправителя предоставить международный идентификатор мобильного абонента (International Mobile Subscriber Identity, IMSI) перед тем, как принять сообщение.

IMSI — это 64-битная строка, уникальная для каждого устройства. Код содержит до 15 символов. Он работает примерно как IP-адрес — с его помощью мобильные операторы связываются с каждым конкретным пользователем, перенаправляя ему звонки и сообщения. В теории IMSI должно быть сложно получить, но на самом деле операторы за небольшую плату предоставляют их сторонним провайдерам через специальные сервисы для перевода телефонного номера в IMSI.

Кроме того, почти треть всех приложений для Android на сегодняшний день имеют доступ к IMSI благодаря разрешениям, которые запрашивают при установке. Так что эти коды можно получить еще и через какое-нибудь вредоносное приложение, или через утечку информации из легитимного приложения. В общем, хакер, задумавший атаку, найдет возможность получить IMSI, считают в Check Point.

Решение проблемы

Все четыре производителя были предупреждены об уязвимости в марте 2019 г. Samsung выпустила патч в мае, LG — в июле. Huawei собирается устранить уязвимость в следующем поколении смартфонов серии Mate или P.

Единственным вендором, который не стал ничего делать, оказалась Sony. Как сообщает Check Point, компания просто не признала наличие уязвимости — она утверждает, что ее устройства выполняют все спецификации OMA CP.

Чтобы самостоятельно обеспечить свою безопасность, пользователь может просто не реагировать на поступающие сообщения OMA CP. Если из-за этого у него в связи с устаревшими настройками перестанут работать какие-нибудь сервисы, всегда можно позвонить в службу поддержки мобильного оператора и попросить выслать настройки еще раз. В этом случае пользователь точно будет знать, от кого они пришли. Какого-то реального способа установить настоящую личность отправителя, если хакер ее подделал, у пользователей нет.

Источник: CNews

Комментарии

0 / 0
0 / 0

Прокомментировать







 

Горячие темы

 
 




Rambler's Top100
Руководителям  |  Разработчикам  |  Производителям  |  Снабженцам
© 2007 - 2019 Издательский дом Электроника
Использование любых бесплатных материалов разрешено, при условии наличия ссылки на сайт «Время электроники».
Создание сайтаFractalla Design | Сделано на CMS DJEM ®
Контакты