LINUX.ORG.RU
ФорумTalks

Об уязвимостях в мобильных телефонах и не только

 линукс не спасет


0

3

(взято с хобота, перевод):

«Проблема очевидна: данные коммуникационные программы и проприетарное закрытое ПО, которое на них работает, мало изучены, по ним нет экспертных обзоров. И это очень странно, учитывая огромную роль этого софта в функционировании современного коммуникационного устройства. Можно предположить, что коммуникационные RTOS обладают высокой безопасностью и защищенностью, однако это не так. Можно иметь на смартфоне самую безопасную мобильную операционную систему в мире, но при этом там будет еще одна — малоизвестная, плохо задокументированная, проприетарная, в которой мы полностью зависим от Qualcomm, Infineon и др.
Низкий уровень безопасности коммуникационного ПО — это не ошибка, а часть плана. Те стандарты, которые описывают коммуникационные процессоры и работу радиоинтерфейсов, были разработаны в 80-е годы. Между тем, в 90-е для них были написаны большие объемы сложного кода с характерным для 90-х подходом к безопасности. Например, там нет защиты от эксплойтов, и они могут там легко запускаться. Что еще хуже, каждый коммуникационный процессор по определению доверяет любым данным, которые получает с базовой станции (напр. сотовой связи). Никаких проверок, все данные считаются доверенными автоматически. Наконец, коммуникационный процессор обычно является мастером, тогда как прикладной (на котором работает мобильная ОС) — слейвом.»

«Можно подумать, что в базовых станциях крупных операторов мобильной связи все «безопасно», но дело в том, что базовые станции постоянно дешевеют, сейчас их можно купить даже на eBay. Существует открытое ПО для базовых станций. С таких станций можно совершать атаки на телефоны. Ставим «скомпрометированную» базовую станцию в людном месте (или деловом районе, или каком-то другом потенциально интересном месте), и можно удаленно включать микрофоны и камеры, загружать руткиты, звонить и посылать SMS на дорогие номера и т. п. Можно даже полностью выводить телефоны из строя.
Это довольно серьезная проблема, но мы о ней редко слышим. Речь идет о настолько низкоуровневом и сложном ПО, что, я думаю, очень немногие люди в мире хорошо знают, что там происходит.»

(оргинал на осньюс)


Это ПО настолько сложное, что до сих пор ни одной подобной атаки не состоялось. Всем попросту лень в нем ковыряться.

abraziv_whiskey ★★★★★
()
Ответ на: комментарий от petyanamlt

так речь про обвязку сети, а не пользователя. вроде.

billic ★★
()
Ответ на: комментарий от Deleted

Я все понял. Вот только любым гуглофоном управлять намного проще чем моим кирпичем.

И не надо никаких левых базовых станций, юзверь сам установит такое по, но даже знать об этом не будет.

Сравни радиус действия базовой станции и плей маркета.

petyanamlt ★★★★
()
Ответ на: комментарий от petyanamlt

И с базовой станцией, сразу возьмет за жопу Россвязьнадзор.

petyanamlt ★★★★
()

Между тем, в 90-е для них были написаны большие объемы сложного кода с характерным для 90-х подходом к безопасности... Никаких проверок, все данные считаются доверенными автоматически.

Сейчас идет большая работа по исправлению всего этого наследия. Но даже если все исправить, доверять аппаратуре и ее прошивке все равно нельзя, ибо «черный ящик» с неизвестными свойствами.

Deleted
()
Ответ на: комментарий от petyanamlt

Нет, всё же не понял.

Пофиг, чем управлять, прошивка модема закрыта и в тупофоне и в смартфоне и примерно одинакова.

Deleted
()

Дебилов и дос не спасёт. А линукс довольно серьёзный слой повышения безопасности, если над ним не издеваться с кривыми руками.

darkenshvein ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.