Kto podsłucha jak rozmawiasz z bankiem? Twój telefon!

Badacze bezpieczeństwa komputerowego z Uniwersytetu Indiana opracowali testowego wirusa na telefony z systemem Android, żeby sprawdzić, czy da się podsłuchiwać numery kart kredytowych podawane w trakcie rozmów z bankami.

Program "Soundminer" składa się z dwóch części. Pierwsza z nich instaluje się jako niewinny program do nagrywania rozmów. Podczas instalacji system pyta czy przyznać aplikacji uprawnienia o które prosi. Większość aplikacji prosi o dostęp do wszystkich danych i funkcji telefonu - chociaż nie jest to im potrzebne - jednak Soundminer prosi tylko o dostęp do danych osobowych użytkownika i mikrofonu, bez dostępu do sieci. Program nagrywa prowadzone przez użytkownika rozmowy i analizuje je po zakończeniu, wyszukując rozmowy prowadzone z zautomatyzowanymi infoliniami banków.

Dzięki zastosowaniu zaawansowanych technik obliczeniowych, na słabym komputerze jakim jest telefon komórkowy, program jest w stanie wychwycić nie tylko numery kart i PIN-y podawane przez wciśnięcie klawiszy, ale też wychwycić cyfry podawane ustnie. Podczas testów oprogramowania, mowa była rozpoznawana poprawnie w 55% przypadków, a numery wprowadzane klawiszami, w 85% przypadków, statystyka ta dotyczy pełnych numerów kart i PIN, nie pojedynczych cyfr.

Druga połówka, "Deliverer" (dostarczyciel) ma za zadanie wyprowadzić przechwycone informacje z telefonu do mocodawców wirusa. Ponieważ "Soundminer" instaluje się bez dostepu do sieci, zajmuje się tym właśnie "Deliverer". Ponieważ programy z różnymi uprawnieniami nie mogą się ze sobą wzajemnie komunikować bez wiedzy użytkownika, badacze musieli opracować metodę przemycania danych z jednej aplikacji do drugiej.

Naukowcy znaleźli cztery takie metody. Dane można przekazywać między aplikacjami zmieniając ustawienia wibracji, o czym są informowane wszystkie programy korzystające z takiego rodzaju alarmu, przez ustawienia głośności, blokady na plikach, a nawet przez ekran telefonu kiedy jest wygaszony w celu oszczędzania energii. Dane przekazane do "Dostarczyciela" mogą być następnie wysłane przez internet, na przykład przy okazji ściągania reklamowego obrazka.

Wszystko to - na szczęście - jest projektem badawczym, nikt nie wypuścił w świat żywego Soundminera, aby kradł dane kart kredytowych. Na nadchodzącej konferencji "Network & Distributed System Security Symposium" badacze zaproponują metody zablokowania możliwości działania takich programów. Ale wraz z rozwojem techniki nasze telefony będą coraz mocniejsze i będą miały dostęp do coraz ważniejszych danych, a przestępczość komputerowa to zyskowny biznes. Raz wypuszczonego z butelki dżina można zagonić do niej z powrotem, ale przestępcy zawsze mogą napisać nowego.

 

[na podstawie "Soundminer: A Stealthy and Context-Aware Sound Trojan for Smartphones", za THINQ]

Janusz A. Urbanowicz

Więcej o: