Niebezpieczne modemy USB 3G/4G

Znakomita większość modemów USB 3G/4G oferowanym nam przez operatorów telekomunikacyjnych jest produkowana przez kilkanaście firm i są to niestety rozwiązania, którymi zarządza niezbyt bezpieczne oprogramowanie. Tak przynajmniej twierdzą dwaj rosyjscy informatycy, którzy postanowili przyjrzeć się bliżej tego rodzaju produktom i zaprezentowali wyniki swoich badań na konferencji Black Hat Europe 2013.

Modemy 3G/4G sprzedawane w Rosji i Europie (ale prawdopodobnie dotyczy to też każdego kraju na świecie) są najczęściej produkowane przez dwie chińskie firmy: Huawei i ZTE. Rosyjscy informatycy (Nikita Tarakanov i Oleg Kupreev) skoncentrowali więc swoją uwagę na modemach Huawei, a mówiąc konkretnie na oprogramowaniu dołączanym do modemów, które zarządza nimi. Okazało się, że oprogramowanie to nie jest wcale bezpieczne i zawiera wiele luk, które haker może umiejętnie wykorzystać.

A oto przykład. Nawet niezbyt doświadczony użytkownik może wykonać kopię plików przechowywanych na modemie, a następnie zmodyfikować je i ponownie zapisać w pamięci modemu. Narzędzia tego typu dostępne już są dla wielu modemów, w tym również dla testowanego modemu Huawei. Na komputerze można też uruchomić specjalny program malware, który odczytuje dane techniczne dotyczące aktywnego modemu 3G (np. model, wersja, itp.), a następnie odczytuje i modyfikuje zainstalowane w pamięci modemu oprogramowanie, dodając do niego złośliwy kod.

Zobacz również:

W pamięci modemu rezyduje program, który instaluje na komputerze aplikację kontrolującą pracę modemu. Program ten instaluje też na komputerze odpowiednie sterowniki (wspierane przez system operacyjny, który zarządza danym komputerem). Aplikacja pozwala użytkownikowi aktywować oraz deaktywować modem, jak również zarządzać nim. Okazuje się, że pliki konfiguracyjne używane przez aplikację (zarówno te przechowywane w pamięci modemu, jak i na komputerze) mają postać standardowych dokumentów .txt, dlatego można je łatwo modyfikować. Można np. w ten sposób zmienić parametr wskazujący na serwer DNS, do którego odwołuje się modem (zamieniając właściwy serwer na serwer DNS opanowany np. przez włamywacza).

Samego instalatora nie można co prawda modyfikować (zagnieżdżając w nim np. szkodliwy kod), ponieważ jest to zasób mający postać pliku wykonywalnego. Atak można jednak przeprowadzić, modyfikując w odpowiedni sposób pliki konfiguracyjne. Pliki takie zawierają np. ścieżkę dostępu do programu instalującego antywirusa. Włamywacz może więc zmodyfikować plik konfiguracyjny w taki sposób, że modem pobierze nie oprogramowanie antywirusowe, ale np. trojana.

I kolejna luka, która tym razem może posłużyć do przeprowadzenia masowego ataku na wiele komputerów. Zarządzająca modemem aplikacja (zainstalowana na komputerze) łączy się co pewien czas z określonym serwerem i sprawdza, czy dla danego typu modemu dostępna jest jakaś aktualizacja. Można sobie wyobrazić sytuację, że włamywacz przejmuje kontrolę nad takim serwerem, instaluje na nim fałszywą aktualizację, która jest następnie pobierana przez setki modemów pracujących na całym świecie. Co się może dziać dalej, nie trzeba chyba tłumaczyć.

I na koniec jeszcze jedna uwaga. Informatycy nie testowali sterowników obsługujących modemy, wspieranych przez system operacyjny zarządzający komputerem, do którego dołączono urządzenie. Można się tylko domyślać, że również one mogą zawierać luki zagrażające bezpieczeństwu komputera, ale to wymaga oddzielnych badań.


TOP 200