При ремонте смартфона мошенники могут ставить чипы, сливающие все данные о владельце

8680

Кому не приходилось разбивать стекло смартфона и нести устройство в ремонт? Как оказалось, такие действия могут привести к тому, что в смартфоне появится не только новый экран, но и дополнительное оборудование, способное запомнить все нажатия пальцев владельца, эмулировать их, сливать третьей стороне пароли, переписки, и даже ставить на смартфон вирусы. 

Возможность такого необычного способа взлома описана в исследовательской работе экспертов из Университета Бен-Гуриона, сообщает ArsTechnica. Исследователи проанализировали возможности такого хакинга на двух устройствах — Huawei Nexus 6P и LG G Pad 7. Чипы, которые используются при взломе, обойдутся максимум в $10, и самое страшное — большинство пользователей не в состоянии будет отличить вредоносное оборудование от фабричного. 

«Угроза вредоносного оборудования, установленного в потребительскую электронику, не должна расцениваться как несущественная. Как показывает данное исследование, атаки с помощью такого оборудования реалистичны, масштабируемы и невидимы для большинства технологий обнаружения угроз», — пишут авторы исследования. 

Чтобы смоделировать атаку, исследователи взяли устройство с обычным сенсорным экраном и внедрили туда чип, влияющий на работу коммуникационной шины, которая передает данные от «железа» к драйверам софта. Это симулирует атаку типа chip-in-the-middle (внедрение в устройство вредоносного чипа). 

Чип выполняет вредоносный код, который приводит к действиям, неизвестным для пользователя и вредным: записывает нажатия клавиш, фотографирует пользователя, подменяет URL, выбранный пользователем, на фишинговый адрес, устанавливает приложения. Чтобы атаки оставались секретными, чип может даже отключать питание на дисплей. Как это работает — показано на следующих видео. Первое показывает установку вредоносного кода без ведома пользователя, второе — съемку фото и отсылку его по почте, третье — запись разблокировки экрана. 

Чтобы отправлять вредоносные команды драйверам и сенсорному экрану, исследователи использовали платформу Arduino в сочетании с микроконтроллером ATmega328, а также STM32L432. Чтобы отсоединить контроллер от сенсорного экрана, они использовали фен.

И хотя для своего исследования авторы использовали устройства на Android, нет оснований считать, что подобная техника не сработает для устройств на iOS. 

Напомним, ранее мы писали о том, что в ряде украинских банков можно узнать баланс чужой карты, зная только ее номер и дату рождения владельца. 

Оставить комментарий

Комментарии | 0

Поиск