Mobiililaitteiden tietoturva päihittää usein tietokoneet, mutta käyttäjiä voidaan silti huijata ja älypuhelimiin voidaan edelleen murtautua. Seuraavassa kerrotaan, mitä sinun on varottava.
Älypuhelinten vallankumouksen piti tarjota teknologiateollisuudelle toinen mahdollisuus kehittää turvallinen tietotekniikka-alusta. Uusien laitteiden väitettiin olevan lukittuja ja immuuneja haittaohjelmille, toisin kuin bugisten tietokoneiden ja haavoittuvien palvelimien.
On kuitenkin käynyt ilmi, että puhelimet ovat edelleen tietokoneita ja niiden käyttäjät ovat edelleen ihmisiä, ja tietokoneet ja ihmiset ovat aina heikkoja lenkkejä. Keskustelimme useiden tietoturva-asiantuntijoiden kanssa, jotta saisit käsityksen yleisimmistä tavoista, joilla hyökkääjät voivat murtautua käyttäjien taskussa oleviin tehokkaisiin tietokoneisiin. Tämän pitäisi toivottavasti antaa sinulle perspektiiviä mahdollisiin haavoittuvuuksiin.
7 tapaa hakkeroida puhelin
- Sosiaalinen suunnittelu
- Malvertising
- Smishing
- Haittaohjelmat
- Pretexting
- Murtautuminen sisään Bluetoothin kautta
- Man-in-the-middle Wi-Fi-hyökkäykset
Sosiaalinen manipulointi
Hakkerin on helpointa murtautua mihinkään laitteeseen, jos käyttäjä avaa oven itse. Se on tietysti helpommin sanottu kuin tehty, mutta se on useimpien sosiaalisen suunnittelun hyökkäysten tavoitteena.
Älypuhelinten käyttöjärjestelmissä on yleensä tiukemmat suojausjärjestelmät kuin tietokoneissa tai palvelimissa, ja sovelluskoodi toimii hiekkalaatikkotilassa, joka estää sitä kasvattamasta oikeuksia ja ottamasta laitetta haltuunsa. Tällä paljon kehutulla turvallisuusmallilla, jossa mobiilikäyttäjien on ryhdyttävä aktiivisiin toimiin, jotta koodi pääsee käsiksi puhelimen käyttöjärjestelmän tai tallennustilan suojattuihin alueisiin, on kuitenkin yksi haittapuoli: se aiheuttaa runsaasti ponnahdusikkunoita, jotka monet meistä oppivat jättämään huomiotta. ”Mobiililaitteiden sovellukset erottavat käyttöoikeudet toisistaan, jotta käyttäjiä voidaan suojella roistosovelluksilta, jotka voivat vapaasti käyttää kaikkia tietojasi”, sanoo Catalino Vega III, Kuma LLC:n tietoturva-analyytikko. ”Kysely tulee tutuksi: ’Haluatko antaa tälle sovellukselle pääsyn valokuviisi?'”.”
”Tämä todella lisää vain yhden vaiheen sovelluksen käyttöoikeuden myöntämisen välille”, hän jatkaa. ”Ja koska käyttäjäkokemus on muokannut useimpien kehotusten hyväksymisen porttina toimintojen käyttöön, useimmat käyttäjät vain sallivat sovellukselle pääsyn kaikkeen, mitä se pyytää. Uskon, että tähän me kaikki olemme jossain vaiheessa syyllistyneet.”
Mainoshaittaohjelmat
Yksi erityisen tärkeä vektori tällaisille harhaanjohtaville valintaikkunoille ovat niin sanotut ”malvertisements”, jotka hyödyntävät mobiilimainonnan ekosysteemiä varten kehitettyä infrastruktuuria, olipa kyse sitten selaimesta tai sovelluksesta.
”Tavoitteena on saada sinut klikkaamaan mainosta”, sanoo Chuck Everette, Deep Instinctin kyberturvallisuuden puolestapuhujien johtaja. ”He yrittävät houkutella sinua jollakin, joka saa sinut klikkaamaan ennen kuin ehdit ajatella – polvireaktiolla tai jollakin, joka näyttää hälytykseltä tai varoitukselta.” Hänen mukaansa tarkoituksena on ”yrittää pelotella tai houkutella sinut klikkaamaan linkkiä”.
Yhtenä esimerkkinä hän mainitsee Durak-nimisen pelin, joka houkutteli käyttäjiä avaamaan Android-puhelimensa lukituksen huijaamalla heitä kytkemään tietoturvaominaisuudet pois päältä ja asentamaan muita haitallisia sovelluksia. Durak ei suinkaan ollut mikään epäilyttävä sivulataussovellus, vaan se oli saatavilla virallisella Google Play -markkinapaikalla. ”67 prosenttia kaikista haitallisista sovelluksista voidaan jäljittää ladatuksi Google Play -kaupasta, kun taas vain 10 prosenttia tuli vaihtoehtoisilta kolmansien osapuolten markkinoilta”, hän selittää. ”Google Playn kuluttajat luottavat suuresti muiden käyttäjien arvosteluihin siitä, onko sovellus turvallinen vai ei”. Tämä ei toimi.” Sitä vastoin hän sanoo, että ”Apple tarkastaa tarkasti jokaisen sovelluksen sovelluskaupassaan, mikä vähentää saatavilla olevien sovellusten määrää – mutta vähentää huomattavasti sovelluksia, joiden ilmoitetaan olevan haitallisia.”
Smishing
Toinen keino, jolla hyökkääjät pyrkivät saamaan uhrinsa eteen tärkeän napautettavan linkin, on tekstiviestien lähettäminen, ja siinä on käytössä aivan erilaisia sosiaalisen tekniikan temppuja; käytäntö tunnetaan nimellä tekstiviestien phishing tai smishing, ja se nappaa niin hyväuskoiset kuin hyvätuloisetkin.
”Verkkorikolliset voivat käyttää tekstiviestipyyntiä monin eri tavoin, riippuen heidän tarkoituksestaan ja tavoitteestaan”, sanoo Rasmus Holst, CRO of Wire. ”Jos tavoitteena on asentaa haittaohjelma laitteeseen, liitteenä on yleensä tiedosto ja viesti, jolla yritetään saada käyttäjä klikkaamaan ja lataamaan se. Tietoverkkorikolliset voivat esimerkiksi esiintyä jonkun luotettavan henkilön, kuten työnantajan tai esimiehen roolissa ja pyytää työntekijää tarkistamaan liitetyn asiakirjan, jolloin kiireinen ja pahaa aavistamaton uhri joutuu ansaan. Kaksi vuotta sitten Jeff Bezosin puhelimeen murtauduttiin sen jälkeen, kun hän oli ladannut yhden videotiedoston luotettavalta yhteyshenkilöltä. Joissakin tapauksissa mobiiliselaimien nollapäivähyökkäyksiä käyttävät hakkerit voivat työntää haitallisen tiedoston puhelimeen ilman käyttäjän suostumusta, kunhan tämä vain klikkaa linkkiä.”
Haittaohjelmat
Jos hakkeri ei voi huijata sinua napin napsauttamiseen ja puhelimesi turvatoimien alentamiseen, hän saattaa etsiä jonkun, joka on jo tehnyt sen tahallaan murrettuaan puhelimensa. Monet pitävät jailbreakingiä siten, että käyttäjät voivat mukauttaa laitettaan paremmin ja asentaa haluamiaan sovelluksia epävirallisista lähteistä, mutta luonteensa vuoksi se höllentää tiukkaa tietoturvaluokitusta, joka pitää älypuhelimet lukittuina.
”Hakkerit luovat sovelluksia, joista käyttäjät olisivat aidosti kiinnostuneita, kuten ilmaisen VPN:n, tarkoituksenaan ladata haittaohjelmia pahaa aavistamattomien käyttäjien laitteisiin”, sanoo Eclypsesin perustaja ja innovaatiojohtaja David Schoenberger. ”Kun nämä haitalliset sovellukset on ladattu laitteeseen, ne havaitsevat, onko laite rootattu tai jailbreakattu – ja jos näin on, ne varastavat henkilötietoja ja muita arkaluonteisia tietoja. Kun laite on jailbreakattu, käyttöjärjestelmä vaarantuu, jolloin salasanoihin, keskusteluihin tai muihin syötettyihin tietoihin, kuten pankki- tai maksutietoihin, päästään helposti käsiksi.”
Pretexting
Lopuksi, jos käyttäjä ei luovu laitteensa hallinnasta vapaaehtoisesti, hyökkääjä voi kääntyä matkapuhelinoperaattorinsa puoleen. Muistat ehkä 00-luvun puolivälin brittiläisen mediaskandaalin, jossa iltapäivälehdet käyttivät niin sanottuja ”blagging”-tekniikoita päästäkseen käsiksi julkkisten ja rikoksen uhrien matkapuhelinvastaajaan. Tässä prosessissa, joka tunnetaan myös nimellä pretexting, hyökkääjä kokoaa tarpeeksi henkilökohtaisia tietoja uhristaan esiintyäkseen uskottavasti uhrina puhelinoperaattorin kanssa käydyssä viestinnässä ja saadakseen näin pääsyn uhrin tilille.
Iltapäivälehdet tavoittelivat vain uutisjuttuja, mutta rikolliset voivat käyttää samoja tekniikoita vielä suurempien vahinkojen tekemiseen. ”Jos varmistus onnistuu, hyökkääjä saa puhelinoperaattorin siirtämään uhrin puhelinnumeron omistamaansa laitteeseen niin sanotussa SIM-kortin vaihdossa”, sanoo Adam Kohnke, Infosec Instituten tietoturvapäällikkö. ”Puhelut, tekstiviestit ja pääsykoodit – kuten toisen tekijän todennuskoodit, jotka pankkisi tai rahoituslaitoksesi lähettää puhelimeesi tekstiviestillä – menevät nyt hyökkääjälle, eivät sinulle.”
Murtautuminen sisään Bluetoothin kautta
On olemassa pari langatonta hyökkäysväylää, joita hakkerit voivat käyttää murtautuakseen puhelimiin huijaamatta ketään luovuttamaan käyttöoikeuksia. Molemmat vaativat kohteen fyysistä läheisyyttä, mutta ne voidaan joskus toteuttaa julkisissa tiloissa. ”Bluetooth-yhteys on yksi älypuhelimen heikoista kohdista, ja hakkerit käyttävät usein erityisiä menetelmiä, joilla he voivat muodostaa yhteyden Bluetoothilla toimiviin laitteisiin ja murtautua niihin”, sanoo teknologia- ja tietoturva-asiantuntija ja MacKeeper-yhtiön tietohallintojohtaja Aleksandr Maklakov. ”Tämä on yleinen hakkerointimenetelmä, koska monet ihmiset pitävät Bluetooth-yhteyttä päällä. Jos Bluetooth-yhteys on sääntelemätön, hakkerit voivat päästä älypuhelimen lähelle ja murtautua sisään huomaamatta.”
Man-in-the-middle Wi-Fi-hyökkäykset
Toinen mahdollinen langaton hyökkäysvektori on man-in-the-middle Wi-Fi -hyökkäys. ” Monilla ihmisillä on tapana yhdistää älypuhelimensa vapaasti saatavilla olevaan julkiseen Wi-Fi-yhteyteen aina, kun siihen tarjoutuu tilaisuus”, kertoo Peter Baltazar, kyberturvallisuusasiantuntija ja MalwareFox.comin tekninen kirjoittaja. ”Tämä tapa voi johtaa suuriin ongelmiin, sillä fiksut hakkerit voivat siepata yhteyden ja tunkeutua puhelimeen.” Yhteydenottoja sieppaamalla hakkerit voivat saada runsaasti tietoa ilman, että he koskaan ottavat käyttäjän puhelinta haltuunsa. (TLS 1.3:aa käyttävää viestintää on paljon vaikeampi siepata tällä tavoin, mutta tätä protokollaa ei ole vielä otettu yleisesti käyttöön.)
He ovat murtautuneet sisään, mitä nyt?
Kun hyökkääjä on käyttänyt jotakin edellä esitetyistä tekniikoista saadakseen jalansijaa älypuhelimessa, mikä on hänen seuraava askeleensa? Vaikka älypuhelinten käyttöjärjestelmät ovat viime kädessä peräisin Unixin kaltaisista järjestelmistä, hyökkääjä, joka on onnistunut murtautumaan sisään, joutuu hyvin erilaiseen ympäristöön kuin PC:llä tai palvelimella, sanoo Sencode Cybersecurityn johtaja Callum Duncan.
”Useimmat sovellukset ovat yhteydessä käyttöjärjestelmään ja muihin sovelluksiin lähinnä API-kutsujen avulla”, hän selittää. ”iOS:n ja Androidin ytimet eroavat niin paljon kaikesta, mikä muistuttaisi niiden Unix-pohjaa, että yhteiset hyväksikäyttömahdollisuudet ovat lähes mahdottomia. Komentoriviä on olemassa molemmissa laitteissa, mutta niihin pääsee vain korkeimman tason etuoikeuksilla molemmissa laitteissa, ja niihin pääsee yleensä käsiksi vain, jos laite on rootattu tai jailbreakattu.”
Mutta se, että se on vaikeaa, ei tarkoita, että se olisi mahdotonta. ”Tällaisia hyödyntämismahdollisuuksia on olemassa”, Duncan sanoo. ”Etuoikeuksien lisääminen olisi avainasemassa tässä prosessissa, ja sisäänrakennettujen turvamekanismien kiertäminen olisi vaikeaa, mutta kuka tahansa hyökkääjä, jolla on mahdollisuus ajaa koodia käyttäjän laitteessa, tekee juuri niin – ajaa koodia käyttäjän laitteessa – joten jos hän on tarpeeksi fiksu, hän voi saada laitteen tekemään mitä haluaa.”
Coalfiren Application Security Center of Excellence -yksikön johtaja Caitlin Johanson sanoo, että yllättävän paljon arkaluonteista tietoa on hyökkääjien saatavilla, kun he saavat jalansijaa laitteessa. ”Asennetut sovellukset luovat SQLiten kaltaisia tietovarastoja, ja ne voivat sisältää kaikkea web-pyyntöjen ja vastausten sisällöstä mahdollisesti arkaluontoisiin tietoihin ja evästeisiin”, hän selittää. ”Sekä iOS:ssä että Androidissa havaittuihin yleisiin heikkouksiin kuuluvat sovellustietojen välimuistiin tallentaminen muistissa (kuten todennustiedot) sekä käynnissä olevan sovelluksen pikkukuvien tai tilannekuvien pysyvyys, mikä voi vahingossa tallentaa laitteelle arkaluonteisia tietoja. Arkaluonteisia tietoja – jotka useimmiten jätetään salaamatta – on runsaasti selaimen evästeiden arvoissa, kaatumistiedostoissa, asetustiedostoissa ja verkkovälimuistitiedostojen sisällössä, joka on luotu helposti luettavaan muotoon ja tallennettu suoraan laitteeseen.”
”Juuri kehitystarkoituksiin luodut työkalut helpottavat hyökkääjän mahdollisuuksia poimia, käsitellä tai jopa muokata tällaisia tietoja, kuten abd Androidissa tai iExplorer tai plutil iOS:ssä”, hän jatkaa. ”Tavallisia apuohjelmia voidaan käyttää kaikkien laitteesta kopioitujen tietokantatiedostojen tutkimiseen, ja jos törmäämme tarpeeseen purkaa salausta, on olemassa Fridan kaltaisia työkaluja, joilla voidaan ajaa skriptejä tallennettujen arvojen purkamiseksi.”
Paksu kuin varkaat
Emme halua liioitella sitä, miten yksinkertaista tämä on. Useimmat käyttäjät eivät murra puhelimiaan, napsauta smishing-linkkejä tai anna lisäoikeuksia epäilyttäville sovelluksille. Vaikka hakkerit pääsisivätkin käsiksi laitteeseen, iOS:n ja Androidin sisäänrakennetut turvatoimet pysäyttävät heidät usein.
Ehkä enemmän kuin minkään tässä kuvatun tekniikan avulla älypuhelimeen voi murtautua pelkällä päättäväisyydellä. ”Hyökkääjät luovat hyvin toistettavia ja automatisoituja malleja, jotka kaivelevat ja urkkivat mobiilisovelluksen tai uuden käyttöjärjestelmäversion jokaista kulmaa heikon kohdan löytämisen toivossa”, selittää Lookoutin tietoturvaratkaisujen vanhempi johtaja Hank Schless. ”Kun he löytävät hyödynnettävissä olevan heikkouden, he yrittävät käyttää sitä hyväkseen mahdollisimman nopeasti ennen kuin korjaus julkaistaan.”
Ja jos et keksi, miten kännykkään murtaudutaan, ehkä löydät ystävän, joka osaa auttaa. ”Tietojen jakaminen verkkorikollisten kesken tapahtuu useimmiten joko pimeässä verkossa tai ryhmissä salatuilla keskustelualustoilla, kuten Telegramissa”, Schless sanoo. ”Suurempia ryhmiä, kuten kansallisvaltioiden tukemia ryhmiä, rohkaistaan jakamaan koodia ja hyväksikäyttökohteita keskenään siinä toivossa, että yhteiset ponnistelut auttavat luomaan menestyksekkäämpiä haittakampanjoita.” Myös hyvien puolella on jaettava tietoja, sillä heillä on selvästi paljon tehtävää.