Eu folosesc soluția celor de la Avast pe mai multe smatphone-uri cu Android și până acum nu am avut probleme. Principalele lucruri care m-au atras au fost următoarele:

• funcția de Anti-Theft prin care sunt anunțat dacă cineva a schimbat cartela SIM, precum și o poziție aproximativă a locului în care acest lucru s-a întâmplat
• pot defini o listă de cartele SIM personale astfel încât să nu se activeze protecția dacă pun un alt SIM de-al meu
• blocare automată a telefonului și declanșarea unei alarme (credeți-ma ca e extrem de zgomotoasă) când cineva schimbă cartela SIM cu una nerecunoscută

De ce m-au atras aceste lucruri în mod special? Întrucât în general, atunci când îți este furat telefonul, hoțul va schimba cartela din telefon și eventual face o resetare a întregului dispozitiv pentru a reveni la setările din fabrică.

Dacă pentru primul caz suntem asigurați, pentru resetarea întregului dispozitiv majoritatea soluțiile antivirus și de protecție nu mai fac față. Ei bine, Avast excelează la acest aspect. În cazul în care aveți drept de root pe dispozitivul vostru, Avast se integrează perfect cu acest aspect. Înțeleg că este posibil să te expui la un risc suplimentar dacă ai root, dar la până la urmă de asta am și antivirusul instalat, tocmai pentru a mă proteja. Atunci când am discutat cu alte companii ce produc soluții antivirus, le-am explicat că există și utilizatori avansați care doresc să personalizeze la un nivel mai avansat ceea ce fac pe dispozitivul propriu și că antivirusul ar trebui să le ofere această flexibilitate.

Ei bine Avast sunt printre puținii care au înțeles acest aspect și oferă și versiunea pentru root, prin care poți face mult mai multe:

• alegi un alt nume pentru aplicație: astfel în loc de Avast Anti-Theft poți pune CandyCrush, astfel că poți duce în eroare pe un posibil rău-voitor
• dai restart de la distanță dispozitivului și dacă ai un PIN pus la cartela SIM, acesta nu va mai putea folosi telefonul de pe cartela ta
• blocarea accesului de conectare a telefonului prin USB, aceasta fiind cea mai uzuală metodă de a reseta telefonul
• în cazul unei resetări complete (acel hard reset) aplicația Anti-Theft rămâne instalată în telefon, chiar dacă celelalte aplicații existente anterior nu vor mai fi prezente
• conexiunea de date rămâne în continuu pornită, dezactivarea ei fiind imposibilă și astfel Avast poate transmite și mai rapid informațiile (locație, poze, etc)
• blocarea accesului la date pentru anumite aplicații, astfel încât spre exemplu poți seta ca doar Google Maps să poată face trafic de date atunci când ești în Roaming

Funcțiile premium sunt și ele foarte interesante și nu le-am regăsit pe la alte produse. Spre exemplu ceva ce merită activat e setarea de perimetru prin care poți stabili ca telefonul să se considere singur a fi furat dacă a ieșit din orașul în care vă aflați. Asta pe lângă posibilitatea de a afla oricând ce apeluri au fost făcute, ce mesaje au fost primite sau trimise, precum și redirecționarea acestora către un alt număr sau chiar să intruiți telefonul să vă sune pentru a auzi ce se discută în jur, bineînțeles fără ca telefonul să afișeze faptul că efectueză un apel.

Cred că aș putea umple pagini cu toate funcțiile pe care le oferă avast! Mobile Security însă vă las și pe voi să le descoperiți. Dacă sunteți interesați să obțineți o licență premium, lăsați un comentariu mai jos cu o experiență de-a voastră privind securitatea dispozitivului mobil (ce ați făcut când v-a fost furat, dacă ați încercat vreodată Avast, ce v-a plăcut, ce nu v-a plăcut, cum vă protejați voi telefonul smart, etc).

Iată și câteva date statistice interesante obținute de la cei de la Avast:

• de la lansarea din decembrie 2011, aplicația a fost descărcată de peste 100 milioane de ori, mai rapid decât orice altă soluție de securitate din cadrul Google Play
• în baza de date se află peste 1 milion de tipuri de malware
• de la lansare, cu ajutorul avast! Mobile Security au fost găsite sau recuperate peste 2.2 milioane de dispozitive
• au fost facute 54.000 poze ale hoților prin intermediul aplicației
• utilizatori au folosit funcția de blocare de la distanță și stergere a datelor de 600.000 ori

Acum că am primit acest update am vrut să testez dacă protecția funcționează cu adevărat. Așa că după câteva căutări insistente pe net am instalat 2 programe malware ce știam că trimit SMS premium. La momentul instalării a fost activată o altă măsură de securitate cu care vine Android 4.2: scanarea aplicațiilor descărcate oficial și de către Google Play. Astfel pe lângă scanarea făcută de către bouncer, mai e verificată odată la descărcare.

Ei bine marea surpriză a venit după ce am rulat aplicațiile: acestea trimiteau totuși mesaje.

Așadar am început să caut motivul pentru care era permisă trimiterea mesajelor premium. Mesajele trimise de aceste aplicații nu erau într-adevăr către numere cu suprataxă pentru România întrucât răspunsul automat primit de la rețea era acela că destinația nu e bună. Am găsit algoritmul după care se face verificarea numerelor premium pe fiecare țară. Pentru România constrângerea este de a avea 4 cifre, cu numere precum 1263, 1266 fiind sigur premium, iar restul de 4 cifre posibil premium. Iată lista:

<?xml version=”1.0″ encoding=”utf-8″?>
<shortcodes>
<shortcode country=”al” pattern=”\\d{5}” premium=”15191|55[56]00″ />
<shortcode country=”am” pattern=”\\d{3,4}” premium=”11[2456]1|3024″ free=”10[123]” />
<shortcode country=”at” pattern=”11\\d{4}” premium=”09.*” free=”116\\d{3}” />
<shortcode country=”au” pattern=”19(?:\\d{4}|\\d{6})” premium=”19998882″ />
<shortcode country=”az” pattern=”\\d{4,5}” premium=”330[12]|87744|901[234]|93(?:94|101)|9426|9525″ />
<shortcode country=”be” premium=”\\d{4}” free=”8\\d{3}|116\\d{3}” />
<shortcode country=”bg” pattern=”\\d{4,5}” premium=”18(?:16|423)|19(?:1[56]|35)” free=”116\\d{3}” />
<shortcode country=”by” pattern=”\\d{4}” premium=”3336|4161|444[4689]|501[34]|7781″ />
<shortcode country=”ca” pattern=”\\d{5,6}” premium=”60999|88188″ />
<shortcode country=”ch” pattern=”[2-9]\\d{2,4}” premium=”543|83111″ />
<shortcode country=”cn” premium=”1066.*” free=”1065.*” />
<shortcode country=”cy” pattern=”\\d{4,6}” premium=”7510″ free=”116\\d{3}” />
<shortcode country=”cz” premium=”9\\d{6,7}” free=”116\\d{3}” />
<shortcode country=”de” pattern=”\\d{4,5}|1232\\d{3}” premium=”11(?:111|833)|1232(?:013|021|060|075|286|358)|118(?:44|80|86)|20[25]00|220(?:21|22|88|99)|221(?:14|21)|223(?:44|53|77)|224[13]0|225(?:20|59|90)|226(?:06|10|20|26|30|40|56|70)|227(?:07|33|39|66|76|78|79|88|99)|228(?:08|11|66|77)|23300|30030|3[12347]000|330(?:33|55|66)|33(?:233|331|366|533)|34(?:34|567)|37000|40(?:040|123|444|[3568]00)|41(?:010|414)|44(?:000|044|344|44[24]|544)|50005|50100|50123|50555|51000|52(?:255|783)|54(?:100|2542)|55(?:077|[24]00|222|333|55|[12369]55)|56(?:789|886)|60800|6[13]000|66(?:[12348]66|566|766|777|88|999)|68888|70(?:07|123|777)|76766|77(?:007|070|222|444|[567]77)|80(?:008|123|888)|82(?:002|[378]00|323|444|472|474|488|727)|83(?:005|[169]00|333|830)|84(?:141|300|32[34]|343|488|499|777|888)|85888|86(?:188|566|640|644|650|677|868|888)|870[24]9|871(?:23|[49]9)|872(?:1[0-8]|49|99)|87499|875(?:49|55|99)|876(?:0[1367]|1[1245678]|54|99)|877(?:00|99)|878(?:15|25|3[567]|8[12])|87999|880(?:08|44|55|77|99)|88688|888(?:03|10|8|89)|8899|90(?:009|999)|99999″ free=”116\\d{3}” />
<shortcode country=”dk” pattern=”\\d{4,5}” premium=”1\\d{3}” free=”116\\d{3}” />
<shortcode country=”ee” pattern=”1\\d{2,4}” premium=”90\\d{5}|15330|1701[0-3]” free=”116\\d{3}” />
<shortcode country=”es” premium=”[23][57]\\d{3}|280\\d{2}|[79]9[57]\\d{3}” free=”116\\d{3}” />
<shortcode country=”fi” pattern=”\\d{5,6}” premium=”0600.*|0700.*|171(?:59|63)” free=”116\\d{3}” />
<shortcode country=”fr” premium=”[4-8]\\d{4}” free=”3\\d{4}|116\\d{3}” />
<shortcode country=”gb” pattern=”\\d{4,6}” premium=”[5-8]\\d{4}” free=”116\\d{3}” />
<shortcode country=”ge” pattern=”\\d{4}” premium=”801[234]|888[239]” />
<shortcode country=”gr” pattern=”\\d{5}” premium=”54\\d{3}|19[0-5]\\d{2}” free=”116\\d{3}” />
<shortcode country=”hu” pattern=”[01](?:\\d{3}|\\d{9})” premium=”0691227910|1784″ free=”116\\d{3}” />
<shortcode country=”ie” pattern=”\\d{5}” premium=”5[3-9]\\d{3}” free=”50\\d{3}|116\\d{3}” standard=”5[12]\\d{3}” />
<shortcode country=”il” pattern=”\\d{4}” premium=”4422|4545″ />
<shortcode country=”it” pattern=”\\d{5}” premium=”4\\d{4}” free=”116\\d{3}” />
<shortcode country=”kg” pattern=”\\d{4}” premium=”415[2367]|444[69]” />
<shortcode country=”kz” pattern=”\\d{4}” premium=”335[02]|4161|444[469]|77[2359]0|8444|919[3-5]|968[2-5]” />
<shortcode country=”lt” pattern=”\\d{3,5}” premium=”13[89]1|1394|16[34]5″ free=”116\\d{3}” />
<shortcode country=”lu” premium=”6\\d{4}” free=”116\\d{3}” />
<shortcode country=”lv” pattern=”\\d{4}” premium=”18(?:19|63|7[1-4])” free=”116\\d{3}” />
<shortcode country=”mx” pattern=”\\d{4,5}” premium=”53035|7766″ />
<shortcode country=”my” pattern=”\\d{5}” premium=”32298|33776″ />
<shortcode country=”nl” pattern=”\\d{4}” premium=”4466|5040″ free=”116\\d{3}” />
<shortcode country=”no” pattern=”\\d{4,5}” premium=”2201|222[67]” />
<shortcode country=”nz” pattern=”\\d{3,4}” premium=”3903|8995″ />
<shortcode country=”pl” pattern=”\\d{4,5}” premium=”74240|79(?:10|866)|92525″ free=”116\\d{3}” />
<shortcode country=”pt” premium=”6[1289]\\d{3}” free=”116\\d{3}” />
<shortcode country=”ro” pattern=”\\d{4}” premium=”12(?:63|66|88)|13(?:14|80)” free=”116\\d{3}” />
<shortcode country=”ru” pattern=”\\d{4}” premium=”1(?:1[56]1|899)|2(?:09[57]|322|47[46]|880|990)|3[589]33|4161|44(?:4[3-9]|81)|77(?:33|81)” />
<shortcode country=”se” premium=”72\\d{3}” free=”116\\d{3}” />
<shortcode country=”sg” pattern=”7\\d{4}” premium=”73800″ standard=”74688″ />
<shortcode country=”si” pattern=”\\d{4}” premium=”[368]\\d{3}” free=”116\\d{3}” />
<shortcode country=”sk” premium=”\\d{4}” free=”116\\d{3}” />
<shortcode country=”tj” pattern=”\\d{4}” premium=”11[3-7]1|4161|4333|444[689]” />
<shortcode country=”ua” pattern=”\\d{4}” premium=”444[3-9]|70[579]4|7540″ />
<shortcode country=”us” pattern=”\\d{5,6}” premium=”20433|21(?:344|472)|22715|23(?:333|847)|24(?:15|28)0|25209|27(?:449|606|663)|28498|305(?:00|83)|32(?:340|941)|33(?:166|786|849)|34746|35(?:182|564)|37975|38(?:135|146|254)|41(?:366|463)|42335|43(?:355|500)|44(?:578|711|811)|45814|46(?:157|173|327)|46666|47553|48(?:221|277|669)|50(?:844|920)|51(?:062|368)|52944|54(?:723|892)|55928|56483|57370|59(?:182|187|252|342)|60339|61(?:266|982)|62478|64(?:219|898)|65(?:108|500)|69(?:208|388)|70877|71851|72(?:078|087|465)|73(?:288|588|882|909|997)|74(?:034|332|815)|76426|79213|81946|83177|84(?:103|685)|85797|86(?:234|236|666)|89616|90(?:715|842|938)|91(?:362|958)|94719|95297|96(?:040|666|835|969)|97(?:142|294|688)|99(?:689|796|807)” />
</shortcodes>

Acum că am lămurit și acest aspect, am decis să trimit pur și simplu un SMS din aplicația standard – ei bine, protecția funcționează și în acest caz. Utilizatorul e avertizat de posibila existență a unei suprataxări.

După cum observați textul spune că „may cause charges” deoarece e un număr de 4 cifre și nu se știe cu siguranță dacă e chiar premium. În cazul în care vreau să trimit la un număr ce sigur e cu suprataxă, textul se schimbă în „this will cause charges to your account”.

Totuși nu eram mulțumit de modul în care a decurs testul așa că am luat aplicațiile malware și le-am modificat astfel încât să trimită SMS la 1263 în loc de celelalte numere predefinite. Mai jos vedeți rezultatul: mai întâi instalez malware-ul original ce începe să trimită mesaje la un număr ce nu e cu suprataxă în România iar rețeaua mă avertizează că destinația nu e una corectă, după care instalez malware-ul modificat. De test, am acceptat ca unul dintre SMS-uri să fie trimis.

Un ultimul lucru pe care am vrut să-l testez era protecția la atacul prin SIM Toolkit. Din păcate acest lucru nu l-am putut testa deoarece odată cu update-ul a dispărut în mod misterios aplicația SIM Toolkit iar sistemul de operare nu mai știe de existența Application Toolkit scrisă pe SIM. Bineînțeles că în mod automat nici atacul nu mai funcționează dar am pierdut accesul la acest meniu rapid al cartelei.

UPDATE: În cele din urmă am reușit să fac aplicația să meargă. Cine mai pățește asta rezolvarea e următoarea: reactivați protecția prin PIN a cartelei.

Așadar am reușit să testez și din păcate noua versiune de Android 4.2 e încă vulnerabilă. M-aș fi așteptat să existe protecție și pe STK.apk dar se pare că nu. Demo-ul e mai jos

Cei de la Android Police au făcut rost de un dump al sistemului LG Nexus ce se pare că va vi lansat pe 29 octombrie și au observat câteva schimbări. Cele mai interesante pentru mine ar fi următoarele:

1. Aplicația Google Play va include și un malware scanner
2. Conexiune VPN pornită permanent: se poate seta restabilirea conexiunii VPN daca spre exemplu ați dat restart la device

<string name=”vpn_menu_lockdown”>Always-on VPN</string>
<string name=”vpn_lockdown_summary”>Select a VPN profile to always remain connected to. Network traffic will only be allowed when connected to this VPN.</string>
<string name=”vpn_lockdown_none”>None</string>
<string name=”vpn_lockdown_config_error”>Always-on VPN requires an IP address for both server and

3. Confirmare de trimitere a mesajelor premium: ăsta mi se pare cel mai bun lucru implementat mai ales că cele mai multe atacuri sunt chiar cele ce fac telefonul să trimită mesaje scurte la numere scurte. Dacă o aplicație încearcă trimiterea unui astfel de mesaj, atunci veți fi anunțați și aveți inclusiv posibilitatea de a raporta aplicația. Sunt curios dacă va proteja și de atacul prin SIM Toolkit.

<string name=”sms_short_code_confirm_title”>Send SMS to short code?</string>
<string name=”sms_premium_short_code_confirm_title”>Send premium SMS?</string>
<string name=”sms_short_code_confirm_message”>&lt;b>%1$s&lt;/b> would like to send a text message to &lt;b>%2$s&lt;/b>, which appears to be an SMS short code.&lt;p>Sending text messages to some short codes may cause your mobile account to be billed for premium services.&lt;p>Do you want to allow this app to send the message?</string>
<string name=”sms_premium_short_code_confirm_message”>&lt;b>%1$s&lt;/b> would like to send a text message to &lt;b>%2$s&lt;/b>, which is a premium SMS short code.&lt;p>&lt;b>Sending a message to this destination will cause your mobile account to be billed for premium services.&lt;/b>&lt;p>Do you want to allow this app to send the message?</string>
<string name=”sms_short_code_confirm_allow”>Send message</string>
<string name=”sms_short_code_confirm_deny”>”Don’t send”</string>
<string name=”sms_short_code_confirm_report”>Report malicious app</string>

Puteți citi și despre alte update-uri pe Android Police.

Întrucât nu am cont la ei nu pot spune ceva despre modul în care sunt stocate datele pe dispozitiv deoarece nu mă pot loga în aplicație. Însă un simplu sniffing de trafic arată asta:

Traficul este HTTP, necriptat (port 80) și a fost făcut la încercarea de autentificare.

Acum dacă e să analizăm și partea de cod ne este confirmat încă odată acest lucru:

hr.asseco.android.remoting.d locald = new hr.asseco.android.remoting.d(new hr.asseco.android.remoting.a.d(„http://mobro.unicreditbanking.net/PS”, „1000333”, str1, arrayOfString1[0], arrayOfString1[1]));

Din păcate se pare că absolut toată comunicația se face necriptat:

String str1 = localRowData.c;
if ((str1.toLowerCase().startsWith(„http://”)) || (str1.toLowerCase().startsWith(„https://”)))
continue;
str1 = „http://” + str1;

:try_start_0
const-string v0, „http://mobro.unicreditbanking.net/d/<CONFIG_ID>/MobileBanking.cfg”

Cu alte cuvinte, dacă din greșeală ajungi pe HTTPS mai bine du-te pe HTTP (e mai sigur pentru bancă).

Din păcate pentru utilizatori nu mai este deloc sigur. Gândiți-vă doar că sunteți conectați pe o rețea wireless publică și vă accesați contul bancar, iar cineva vă interceptează datele. Întrucât comunicația nu este criptată nu mai e nevoie de alte trucuri pentru vedea datele în clar, cu un banal WireShark. Iar de aici până la a vă dispărea banii din cont mai e un singur pas.

Sigur, poate că nu voi ați făcut tranzacția respectivă, dar încercați să demonstrați asta băncii, mai ales că băncile după cum am văzut nu prea își dau mare interes dacă pierderea e de partea clientului.

Este inacceptabil ca o bancă să nu cripteze traficul ce vine către ea. Ca o notă de subsol, acum vreun an am trimis un mail la top 10 bănci din România în care am întrebat dacă traficul dintre POS și bancă este criptat, iar cele 4-5 bănci care mi-au răspuns au spus că această informație este confidențială. Mi se pare normal, nu trebuie eu să știu dacă datele mele sunt în siguranță, trebuie să am încredere oarbă că banca mă protejează pe mine.

Aveți un video cu demonstrația mai jos:

Cum e posibilă această vulnerabilitate?

În primul rând trebuie să menționez că atacul în sine e compus din două părți:

1. Se trimite către telefon un mesaj WAP-Push Service Load, prin care se specifică o adresa web iar telefonul o încarcă imediat. Asta înseamnă că oricine vă poate face telefonul să acceseze orice site. Iar dacă sistemul de operare de pe acel telefon are anumite bug-uri, atunci e posibilă inclusiv extragerea de date confidențiale. Gândiți-va spre exemplu că adresa duce către o aplicație (Java, apk, etc.) si atunci acea aplicație e instalată automat pe telefon. Toate astea fără a fi în vreun fel conștienți de atac.

Soluție: Pentru dispozitivele Android accesați mesajele text, apăsați Meniu, mergeți la Settings, apoi Push Message Settings, iar în final configurați Service Loading pe Prompt sau Never. Dacă nu aveți aceste opțiuni înseamnă că telefonul nu va încărca acea adresă web în mod automat.

2. Cea de-a 2a parte a atacului face uz de resursa „tel:” ce determină telefonul să afișeze acel număr de telefon deja format. Acest URI e foarte util când navigați pe site-uri ce au diferite numere de telefon la contact și, pentru a nu vă nota numărul și apoi să-l formați, se va utiliza tel:numar.  Problema este că la Samsung, dar probabil și alte dispozitive, există un cod ce face reveirea la setările inițiale (wipe) ceea ce presupune pierderea aplicațiilor, pozelor, contactelor, etc. Acum tot ce mai rămâne de făcut e să combinăm resursa „tel” cu codul de ștergere al dispozitivului și cu atacul WAP Push pentru a face o ștergere de la distanță.

Consider că existența unui cod pentru revenirea la setările inițiale nu e o problemă, acest cod fiind prezent cu mult timp în urmă, din 2009 chiar după cum se poate observa aici. Din păcate producătorii de telefoane nu au învățat din greșelile trecutului și încă mai acceptă mesaje WAP-Push. Nu știu câți dintre voi ați încercat să vă abonați la servicii precum horoscop ale operatorului de telefonie, însă atunci când primiți horoscopul zilnic acesta e trimis sub forma unui mesaj WAP-Push. Încărcarea automată a paginii din acest mesaj a fost dezbătută de mai multe ori și chiar eu am discutat despre această problemă.

Mai rămâne de analizat partea cu acel URI tel. Trebuie să menționez că nu toate telefoanele sunt afectate și sunt mai multe tipuri de comportament.

Așadar, care e pericolul?

Zilele trecute am analizat mai multe telefoane cu diferite sisteme de operare. Pentru asta am făcut o pagină de test cu următorul cod:

<html>
<head>
<title> HackATel
</title>
</head>
<frameset>
<frame src=”tel:*%2306%23″ />
</frameset>
</html>

După cum se observă, într-un frame am pus resursa tel cu valoarea *#06#, valoare ce reprezintă codul pentru aflarea IMEI-ului. Apoi am cerut unor personae diferite să acceseze această pagină și să îmi spună dacă telefonul le-a afișat direct IMEI-ul, fără a cere vreo confirmare în prealabil. Astfel am identificat următoarele telefoane vulnerabile: HTC Desire, Samsung Galaxy W, iPhone 3GS, HTC Evo 3D, HTC One X, HTC One XL. Așadar nu doar telefoanele cu Android afișează în mod direct codul fără a cere vreo confirmare.

Pentru a testa și voi am făcut două pagini de test: http://m-sec.net/testtel.html care are codul pentru IMEI și http://m-sec.net/testone.html ce are numărul 100. Accesați-le de pe telefon și vedeți ce se întâmplă. Aș aprecia dacă lăsați și un comentariu mai jos.

Și dacă tot am ajuns la coduri, vreau să fac câteva precizări. În primul rând au apărut destul de multe articole în presă (unu, doi, trei, etc.) sau denumiri de aplicații ce utilizează cuvântul USSD. Din păcate acest lucru este fals și iată de ce.

SS, USSD, MMI

Toate codurile introduse ce conțin caracterul * sau # sunt coduri MMI (Man Machine Interface). Deși au aceeași structură, ele au denumiri și utilizări diferite.

SS sau Supplementary Service sunt acele coduri ce permit modificări ale serviciilor de apel precum redirecționare, apel în așteptare, identitatea apelului. Spre exemplu ##002# determină anularea tuturor redirecționărilor. Astfel de coduri, întrucât sunt și în standard, se află scrise în fiecare dispozitiv, indiferent de producător și sunt aceleași mereu. Mai multe detalii găsiți în 3GPP TS 22.004. Totodată aceste coduri au nevoie să se termine cu apăsarea tastei de apel.

USSD sau Unstructured Supplementary Service Data sunt acele coduri care sun trimise către rețeaua de telefonie în cazul în care nu este recunoscut ca un alt cod din celelalte categorii. Spre exemplu *100# în anumite rețele determină afișarea meniului pentru Self Care. Aceste coduri sunt așadar dependente de rețea. Și aici trebuie apăsată tasta de apel pentru a se executa comanda.  Pentru detalii vedeți 3GPP TS 22.090

Coduri MMI ale producătorului sunt, după cum spune și numele, definite de producătorul respectivului telefon. Acestea conțin întotdeauna caracterele * și #. Prin ele se pot activa meniuri ascunse, schimba anumite funcții doar pentru acel model de telefon, etc. Singura excepție pe care toți producătorii trebuie să o implementeze este codul de aflare al IMEI  *#06#.  În această categorie se încadrează codul pentru wipe de care precizam anterior. Cel mai important aspect e acela că pentru execuția lor nu mai este nevoie de apăsarea tastei de apel, execuția codului făcându-se imediat după scrierea ultimului caracter.

Coduri specifice SIMului – o categorie aparte ce permite schimbarea codului PIN1/2 și deblocarea lui prin cod PUK. Exemplu: **04*PINvechi*PIN1-nou*PIN1-nou#. Aceste coduri nu se trimit către rețea, sunt implementate în fiecare SIM și nu necesită tasta de apel pentru procesare. Specificațiile complete le găsiți în 3GPP TS 22.030

Așadar avem două categorii de coduri ce sunt executate imediat ce ultimul caracter a fost introdus: codurile specifice dispozitivului – introduse de fiecare producător în parte -și codurile specifice cartelei SIM. Tocmai de aceste coduri se folosește atacul. Nu pot spune cu siguranță dacă există și telefoane care formează automat numărul de telefon specificat de “tel” însă nu doar dispozitivele cu Android sunt afectate.

Ținând cont de cele de mai sus, nu sunt de acord cu titlurile (fie de articole fie de aplicații) în care se folosește noțiunea de USSD când de fapt e vorba de altceva.

Pentru a vă proteja de acest tip de atac recomandarea este fie de a instala un alt dialer și de a primi interogare din partea telefonului cu ce aplicație să fie folosită, fie de a instala aplicația TelStop a lui Collin Mulliner din Google Play. Momentan este cea mai bună aplicație de protecție pentru dispozitivele Android în privința acestui atac. Aceasta intercepteaza codul trimis de pe web și, dacă este unul periculos pentru dispozitivul mobil, atunci aveți posibilitatea de a-l bloca sau a continua cu execuția lui. Dacă este pur și simplu un număr de telefon, atunci numărul va și afișat în mod normal.

Cam așa arată telefonul când e instalat încă un dialer:

Din păcate, întrucât nu am încă un dispozitiv iPhone nu știu ce modalitate de protecție ar fi. Lăsați comentariu dacă există ceva asemănător și care să nu necesite Jailbreak. Ca și exemplu, iată ce se poate face:

Tocmai astfel de lucruri aș vrea să văd la producătorii de soluții de securitate. Există încă o mulțime de astfel de atacuri banale și vechi pe care nicio soluție de securitate nu le detectează. Idei am multe pentru îmbunătățirea sau testarea soluțiilor de securitate existente pe piață pentru dispozitivele mobile, așa că cine dorește mă poate contacta și negociem o formă de colaborare.

Ți s-a întâmplat vreodată să primești un SMS de la un număr care nu există? Ai primit mesaje de la diverse campanii electorale ce păreau a veni din partea operatorului de telefonie? Dar mesaje cu un expeditor modificat?

Sunt convins că o parte vor răspunde cu DA la cel puțin una din aceste întrebări. Din păcate în cazul SMS-urilor nu avem cum ști dacă ele vin din partea operatorului, din partea băncii, etc.

Să ne imaginăm următorul scenariu: utilizatorul primește un mesaj venind din partea serviciului clienți, în care este anunțat că a câștigat o mașină. Totodată utilizatorului i se spune să sune la un anumit număr pentru a confirma premiul. Numărul poate fi cu suprataxă sau nu. Sunt convins că mulți ar cădea pradă acestor tipuri de mesaje. Astfel mulți ar suna și ar plăti 2 EUR / min sau și-ar da datele personale întrucât, nu-i așa, expeditorul e Serviciul Clienți. Sau și mai bine hai să ne imaginăm că mesajul vine din partea băncii.

Sunt neplăcute aceste situații și nu avem cum să ne protejăm de ele. Ei bine, acum există și soluția.

SMS Protect – o aplicație ce te anunță în momentul primirii mesajului dacă acesta este legitim sau nu. Destul de interesant, nu? Întrucât este în varianta pre-beta și sunt convins că nu va funcția chiar perfect pe toate telefoanele așa cum trebuie, o puteți descărca și folosi gratuit. Disponibilă doar pe Android, versiunile de la 2.2 în sus.

Cum funcționează aplicația? Se instalează pe telefon (atenție că trebuiesc acordate mai întâi permisiuni de a instala aplicații ce nu vin din Google Play) și asta e tot. În momentul în care veți primi un SMS, aplicația va afișa în partea de jos o informare asupra acestui SMS primit – dacă e unul real sau unul fals. Așa cum spuneam, e într-o variantă simplistă, iar dacă aveți telefonul în stand-by (ecranul oprit) și nu vă uitați pe ecran imediat ce ați primit mesajul, nu veți putea ști dacă mesajul e unul real sau nu întrucât acel tooltip de informare nu stă decât vreo 2 secunde pe ecran. Repet – asta e varianta actuală. SMS Protect funcționează pentru toate tipurile de mesaje primite: normale, WAP Push, flash, etc.

Iată și cum funcționează (dați pe 720p)

ATENȚIE! Aplicația nu conține niciun fel de malware. E posibil ca anumite soluții de protecție să o raporteze ca troian, însă nu este cazul. Am raportat deja ca fiind false positive. Așa cum ați văzut și în film, soluția BitDefender spune că aplicația e curată.

Am de gând să o dezvolt și să ofere loguri pentru a vedea exact cine și când v-a trimis un mesaj fals. Cel mai probabil va fi o variantă plătită, disponibilă pe Google Play.

Aștept reacțiile privind SMS Protect pentru o primă aplicație dezvoltată de mine personal,ținând cont că nu știu programare, e prima dată când fac așa ceva iar timpul de lucru cu instalarea de la zero a masinilor de test, mediului de dezvoltare, etc a fost de aproximativ 5 ore.

Funcţionarea este simplă: după instalare sunt prezentate ultimele ştiri ce pot fi citite în totalitate. În plus se poate face share pe Facebook la o anumită ştire.

Ca şi permisiuni cerute, acestea sunt:

Hardware controls
change your audio settings
Allows the app to modify global audio settings such as volume and routing.

take pictures and videos
Allows the app to take pictures and videos with the camera. This allows the app at any time to collect images the camera is seeing.

record audio
Allows the app to access the audio record path.

Network communication
full Internet access
Allows the app to create network sockets.

Storage
modify/delete USB storage contents modify/delete SD card contents
Allows the app to write to the USB storage. Allows the app to write to the SD card.

Network communication
view network state
Allows the app to view the state of all networks.

Permisiunile pentru audio si video sunt cerute pentru a putea raporta o ştire interesantă direct din aplicaţie.

Analizând codul, încă de la iniţializarea aplicaţiei se face o raportare către Google Analytics cu următoarele informaţii:

•  versiunea aplicaţiei
• modelul dispozitivului
• numele sistemului (ex HTC Legend Build/FRF91)
• versiunea de Android
• sistemul folosit

      localGoogleAnalyticsTracker.setCustomVar(1, „appVersion”, str1, 2);
localGoogleAnalyticsTracker.setCustomVar(2, „deviceModel”, str2, 2);
localGoogleAnalyticsTracker.setCustomVar(3, „systemName”, str3, 2);
localGoogleAnalyticsTracker.setCustomVar(4, „systemVersion”, str4, 2);
localGoogleAnalyticsTracker.setCustomVar(5, „system”, str5, 2);

Totodată se verifică şi dacă sunteţi logaţi pe Facebook

 public static boolean isFacebookSignedIn(Activity paramActivity)
{
return getApplication(paramActivity).getFacebook().isSessionValid();
}

Pentru a funcţiona cu Facebook, aplicaţia are nevoie de o semnătură specifică: Facebook requires an additional layer of security for mobile apps in the form of an application signature. You need to put your Android application signature into your Facebook app settings. ( de aici)

Nu prea cred totuşi că e chiar ok ca această semnătură să fie pusă hardcoded:

Un alt aspect ce trbeuie menţionat la partea de cod e acela că, în cazul unei întreruperi a aplicaţiei din motive necunoscute, se generează un fişier de crash report în care sunt incluse o mulţime de elemente (tipul telefonului, loguri de comunicaţie ale telefonului cu reţeaua, un dump al memoriei, etc). În general nu vă recomand să trimiteţi aceste rapoarte întrucât dezvăluie multe date personale.

Şi am ajuns la a vedea ce date sunt transmise. Aşa cum spuneam şi la început sunt transmise mai multe detalii despre telefon către Google Analytics:

GET /__utm.gif?utmwv=4.8.1ma&utmn=1204257584&utme=8(1!appVersion*2!deviceModel*3!systemName*4!systemVersion*5!system)9(1!13%20%281.0.12%29*2!sdk*3!FRF91*4!2.2*5!sdk%20FRF91%202.2)11(1!2*2!2*3!2*4!2*5!2)&utmcs=UTF-8&utmsr=320×480&utmul=en-US&utmp=%2Fstart&utmac=UA-22957839-16&utmcc=__utma%3D1.1063077146.1338827469.1338827469.1338827469.1%3B&utmht=1338827469663&utmqt=9896 HTTP/1.1
Host: www.google-analytics.com
User-Agent: GoogleAnalytics/1.4.1 (Linux; U; Android 2.2; en-us; sdk Build/FRF91)

GET /__utm.gif?utmwv=4.8.1ma&utmn=1146252714&utmcs=UTF-8&utmsr=320×480&utmul=en-US&utmp=%2Farticles%2Fheadlines&utmac=UA-22957839-16&utmcc=__utma%3D1.1063077146.1338827469.1338827469.1338827469.1%3B&utmht=1338827471086&utmqt=8696 HTTP/1.1
Host: www.google-analytics.com
User-Agent: GoogleAnalytics/1.4.1 (Linux; U; Android 2.2; en-us; sdk Build/FRF91)

Sunt luate şi stirile de pe protv, precum şi ceva reclame:

Bineînţeles că nimeni nu-i obligă să trimită toate informaţiile astea, însă acesta e preţul plătit de utilizator pentru o aplicaţie gratuită.

Cererile către Facebook sunt făcute în mod securizat, pe HTTPS, deci nu am ce reporoşa la această parte. Problema apare când analizăm ce fişiere sunt stocate.

Sunt create mai multe baze de date SQLite, localizate în /data/data/com.cme.newsreader.stirileprotv.ro/databases. Acestea sunt: webviewCache.db, webview.db, google_analytics.db

Un lucru pe care nu l-am spus în articolul anterior şi e important de reţinut e acela că aceste fişiere nu sunt accesibile decât aplicaţiei. Pentru a avea acces la ele trebuie permisiuni de root. De ce e important să analizăm şi ce anume se stochează? Simplu: în cazul în care ne pierdem telefonul, vom pierde şi datele stocate de către aplicaţiile folosite de noi, iar asta se poate traduce în locaţii GPS, conturi, username, parolă. Din moment ce telefonul nu mai e în posesia noastră, a obţine drepturi de root de către o altă persoane e doar o chestie de căutare pe Google. Tocmai din acest motiv e important ca aplicaţiile să stocheze datele într-un mod cât mai sigur.

Dar să revenim la bazele de date.  În google_analytics.db găsim aceleaşi date de care menţionam anterior, însă în webview.db – jackpot!

Sunt cookie-urile folosite pentru Facebook şi pe baza cărora aplicaţia verifică dacă suntem sau nu logaţi. Este îndeajuns să le transferăm pe PC şi deja suntem conectaţi pe contul acelei persoane, fără a mai fi necesară introducerea de user şi parolă. Mai mult, e stocată chiar şi adresa de email folosită la conectarea pe Facebook.

În webviewCache.db sunt stocate toate link-urile accesate prin Facebook pentru a face share la o anumită ştire

După cum se vede, informaţiile sunt stocate ca atare, în clar, fără a folosi vreun algoritm de criptare.

Ceea ce părea a fi o banală aplicaţie de citit ştiri s-a dovedit a fi mult mai nesigură decât credeam. Data viitoare voi analiza aplicaţia Hotnews.

Aşadar, în funcţie de câţi doritori se vor arăta, voi continua seria săptămânală cu aceste articole. Ca pentru un prim articol, am decis să încep cu o aplicaţie care nu ar trebui să aibă un impact aşa mare asupra utilizatorilor. Ce date sensibile poate trimite o aplicaţie care te ajută să comanzi un taxi? Ei bine, după ce am analizat aplicaţia, se pare că există totuşi motive de îngrijorare.

Modul de funcţionare poate fi cel mai bine exprimat prin imagini:

O aplicaţie pentru smartphone, ce comunică folosind Internetul, diferă de modul de testare a unei aplicaţii web. În primul rând, putem analiza ce fişiere sunt create în timpul înstalării şi al utilizării – cum stochează informaţiile? sunt criptate? Apoi putem testa partea de validare a informaţiilor, logica funcţionării şi, în ultimul rând, dacă schimbul de informaţii dintre aplicaţie şi server se realizează în mod securizat.

Aşadar, despre fişierele create. În timpul utilizării am salvat locaţia unde am biroul virtual şi apoi am plasat o comandă. Câteva fişiere au fost create pe parcursul acestui proces:

/data/data/ro.mobiessence.android.clevertaxi.speedtaxi/files/DATA_Tiles_3
/data/data/ro.mobiessence.android.clevertaxi.speedtaxi/files/DATA_Tiles_4
data/data/ro.mobiessence.android.clevertaxi.speedtaxi/files
/data/data/ro.mobiessence.android.clevertaxi.speedtaxi/shared_prefs
/data/data/ro.mobiessence.android.clevertaxi.speedtaxi/shared_prefs/settings.xml

Oare ce o fi în settings.xml?

shell@android:/data/data/ro.mobiessence.android.clevertaxi.speedtaxi/shared_pref
s # cat settings.xml
cat settings.xml
<?xml version=’1.0′ encoding=’utf-8′ standalone=’yes’ ?>
<map>
<string name=”opt5″></string>
<string name=”lastName”>Popescu</string>
<string name=”opt6″></string>
<string name=”phone”>1234567</string>
<string name=”opt3″></string>
<string name=”opt4″></string>
<string name=”opt9″></string>
<string name=”opt7″></string>
<string name=”opt8″></string>
<boolean name=”showMapPositionInfo” value=”false” />
<string name=”email”>ion@popescu.ro</string>
<string name=”firstName”>Ion</string>
<string name=”opt2″></string>
<string name=”myAddresses„>[{&quot;gps_lng&quot;:26.145351,&quot;localityName&qu
ot;:&quot;București&quot;,&quot;building&quot;:&quot;&quot;,&quot;gps_lat&quot;
:44.43555,&quot;street&quot;:&quot;Strada Maior Ion Coravu&quot;,&quot;name&quot
;:&quot;Birou&quot;,&quot;address_details&quot;:&quot;&quot;,&quot;streetNo&quot
;:&quot;5&quot;,&quot;entrance&quot;:&quot;&quot;}]</string>
<string name=”opt1″></string>
</map>

Interesant, deci adresa din comandă e stocată aici, dar şi adresa(le) salvată de mine cu denumirea „Birou”. Totul plain text, bineînţeles.

Acum să trecem la partea de cod – ce se ascunde în spatele aplicaţiei? Pentru început, permisiunile necesare care sunt multe şi cer acces la o groază de lucruri.

Your location
coarse (network-based) location
fine (GPS) location

Network communication
full Internet access

Your personal information
read contact data

Phone calls
read phone state and identity

System tools
prevent tablet from sleeping prevent phone from sleeping
modify global system settings

Your accounts
discover known accounts

Hardware controls
control vibrator

Network communication
view network state

Pentru ce naiba sunt necesare atâtea permisiuni pentru o simplă aplicaţie de comandă a unui taxi nu pot înţelege. Cele de mai sus se găsesc şi în fişierul manifest, aşa cum e normal:

La partea de cod recunosc că nu am destule cunoştinţe pentru a spune dacă este bun sau nu, însă în mare mi-am format o idee. Parcurgând clasele, mi-a sărit în ochi următoarea parte de cod:

Cum adică IMEI? De ce ai tu, ca şi companie, nevoie de IMEI-ul telefonului? Dar să vedem mai departe…

Pe partea de comunicaţie încep prin a spune că aceasta se face total necriptat şi nesecurizat. Aşa cum menţionam anterior, se pare că aplicaţia ia şi codul IMEI al telefonului, însă nu înseamnă neapărat că îl şi transmite. Pentru a verifica acest lucru, aplicaţia am pus-o într-un emulator cu drepturi de root, deci nu are un dispozitiv GPS de care se poate folosi pentru a transmite locaţia.

Dacă se doreşte setarea unei anumite locaţii, aceasta se poate face făcând telnet pe host-ul şi portul emulatorului, după care se dă comanda

geo fix 44.445818 26.097261
OK

Astfel am putut ajunge la ecranul de iniţiere al comenzii pentru un taxi. Am selectat o stradă oarecare din Bucureşti (Vasile Alecsandri în cazul meu) şi am plasat comanda. Alte detalii cerute au fost numele, prenumele, numărul de telefon, adresa de email (opţional, dar detectată automat dacă e pus un cont Google), nr străzii. După un timp de aşteptare a venit şi răspunsul prin care eram anunţat că o maşină va sosi. Din păcate aplicaţia crapă la primirea răspunsului, însa acest lucru se datorează faptului că rulează pe emulator.

Ce s-a văzut pe partea de comunicaţii e şi mai interesant. În primul rând, traficul făcut către Google maps pentru alegerea locaţiei:

POST /glm/mmap/a HTTP/1.1
Connection: close
Content-Type: application/binary
Content-Length: 246
Host: www.google.com
User-Agent: GMM/3.0 (generic FRF91); gzip

l>oen_USandroid:generic-generic-sdk1.6gmm-unknown>
484*2ro.mobiessence.android.clevertaxi.core.MapPosition
’0ZZHmFlvayvSoFQMRT9YYJSmpU2MCZTefLJ8A7w
3c89da0d4bcf25309dd0cb0592b07628
db7d646fd19395a


%I

GET /maps/geo?q=44.450539,26.093816&output=json&sensor=false HTTP/1.1
Host: maps.google.com
Connection: Keep-Alive
User-Agent: Apache-HttpClient/UNAVAILABLE (java 1.4)

HTTP/1.1 200 OK
Content-Type: text/javascript; charset=UTF-8
Vary: Accept-Language
Date: Sun, 20 May 2012 11:32:50 GMT
Server: mafe
Cache-Control: private
X-XSS-Protection: 1; mode=block
X-Frame-Options: SAMEORIGIN
Transfer-Encoding: chunked

34e
{
„name”: „44.44982,26.09424”,
„Status”: {
„code”: 200,
„request”: „geocode”
},
„Placemark”: [ {
„id”: „p1″,
„address”: „Strada Vasile Alecsandri, Bucharest, Romania”,
„AddressDetails”: {
„Accuracy” : 6,
„Country” : {
„CountryName” : „Romania”,
„CountryNameCode” : „RO”,
„Locality” : {
„DependentLocality” : {
„DependentLocalityName” : „Sector 1″,
„Thoroughfare” : {
„ThoroughfareName” : „Strada Vasile Alecsandri”
}
},
„LocalityName” : „Bucharest”
}
}
},
„ExtendedData”: {
„LatLonBox”: {
„north”: 44.4516889,
„south”: 44.4489910,
„east”: 26.0956247,
„west”: 26.0929267
}
},
„Point”: {
„coordinates”: [ 26.0942727, 44.4503400, 0 ]
}
} ]
}

0

După setarea poziţiei pe hartă şi completarea celorlalte date, am iniţiat comanda. În acest moment se face o cerere plaintext către un server general, pe portul 5454, în care se transmit mai multe informaţii:

– nume, prenume
– număr telefon
– codul IMEI al telefonului (!!!)
– acurateţea poziţionării, latitudine, longitudine, localitate, stradă
– adresa email
– compania de taxi pentur care s-a făcut cererea
– ID-ul unic al dispozitivului
– data,ora comenzii

În format brut, aşa arată informaţia cerută

{„data”:{„order”:{„lname”:”Popescu”,”no_cars”:1,”tel”:”12345678″,”imei„:”000000000000000″,”versioncode”:”4″,”networklocation”:{„accuracy„:”0.0″,”lng”:”44.445816″,”lat”:”26.09726″},”timestamp”:1337512997867,”source”:”android”,”details”:””,”email”:””,”token”:”3007e861b1823e13fbd2c6afc3539c7f”,”address”:”Strada Vasile Alecsandri 3, Bucharest”,”company”:{„id”:”3″,”name„:”Speed Taxi”},”gps”:{„lng”:”26.09424″,”lat”:”44.44982″},”fname”:”Ionel”,”deviceId„:”9774d56d682e549c”}},”status”:”success”}

De ce este nevoie să transmită codul IMEI şi deviceID nu înţeleg. O posibilă explicaţie ar fi pentru a preveni comenzile făcute abuziv de la un anumit dispozitiv, dar chiar şi aşa sunt prea multe date transmise, mai ales că se trimit nesecurizat. Apple a început să refuze aplicaţiile care cer acest identificator unic – vezi aici.

Faptul că se specifică şi numele companiei de taxi în pachetul transmis mă face să cred că de fapt datele ajung mai întâi la un terţ, abia apoi fiind transmise către compania ce va onora comanda. Am găsit această aplicaţie, desigur cu datele de identificare schimbate şi pentru alte companii de taxi din Bucureşti iar aplicaţia e făcută de aceeaşi firmă în toate cazurile.

Observaţi număr pus de mine – 12345678 – aşa că nu aveam aşteptări prea mari să şi primesc comanda. În plus, dacă vă uitaţi atent vedeţi şi faptul că acurateţea e zero, deci e aproape sigur faptul că poziţionarea pe hartă am făcut-o manual. Dar asta deja ţine de logic flaw. Cu toate acestea, după un timp de aşteptare de aprox 1 minut, a venit şi răspunsul de la server:

Comanda a fost onorată cu succes şi urmează să ajungă în 3 minute maşina cu indicativul 139. Îmi cer scuze pentru comanda falsă – promit să mai fac

Singura protecţie întâlnită a fost cea prin care se verifică localitatea, răspunsul primit fiind „You are out of accepted area”.

Concluzii

Eu unul nu voi mai folosi această aplicaţie, atât din cauza informaţiilor transmise, dar şi pentru că am vrut să fac o comandă la un moment dat şi mi-a cerut numărul străzii – păi dacă îl ştiam mai apelam la o astfel de aplicaţie?

Aştept feedback pentru a vedea dacă sunteţi interesaţi să testez şi alte aplicaţii româneşti.

Ah şi încă ceva: dacă cineva e dispus să doneze un iPhone (preferabil ultima versiune) voi testa şi aplicaţiile pentru iOS