เทอร์มินัลจำนวนมากมีเครื่องมือการดูแลระบบระยะไกลติดตั้งโดยผู้ผลิต แต่การเข้าถึงระบบที่มีสิทธิพิเศษอาจถูกแฮกเกอร์แย่งชิงได้
ตามที่เราทราบ ผู้ที่ต้องการสอดแนมบนสมาร์ทโฟนสามารถใช้ซอฟต์แวร์ที่ถูกกฎหมายได้ไม่มากก็น้อย ตั้งแต่ซอฟต์แวร์ที่ถูกที่สุด (Mobistealth สำหรับผู้ปกครองและนายจ้างที่หวาดระแวง) ไปจนถึงซอฟต์แวร์ที่แพงที่สุด (ทีมแฮ็กสำหรับบริการภาครัฐ) ปัญหาหลักคือการติดตั้งซอฟต์แวร์ดังกล่าว ซึ่งเรียกว่า “โทรจันการเข้าถึงระยะไกลผ่านมือถือ” (mRAT) โดยไม่สร้างความสงสัยให้กับบุคคลเป้าหมาย
สิ่งที่ผู้ใช้น้อยคนรู้ก็คือสมาร์ทโฟน Android หลายเครื่องนั้นมาจากจุดเริ่มต้นโดยตรงด้วย "ม้าโทรจัน" ในกรณีนี้คือผู้ผลิตซอฟต์แวร์การดูแลระบบระยะไกล (หรือ "เครื่องมือสนับสนุนระยะไกลบนมือถือ", mRST) ตัวอย่างเช่น LG, Samsung และ Huawei ติดตั้งซอฟต์แวร์ที่เรียกว่า RSupport ไว้ล่วงหน้าบนสมาร์ทโฟนบางรุ่นเพื่อให้สามารถให้บริการสนับสนุนได้ ซึ่งรวมถึงรุ่น LG G4/G3/G2/G Pro 2 และ Samsung S5 และ S4 บางเวอร์ชัน
สิทธิพิเศษในการเข้าถึง
ซอฟต์แวร์การดูแลระบบนี้มีสิทธิพิเศษในการเข้าถึงระบบ เช่น เพื่อให้สามารถถ่ายโอนอินเทอร์เฟซหน้าจอแบบเรียลไทม์และส่งคำสั่งระยะไกลได้ โดยทั่วไปฟังก์ชันสิทธิพิเศษเหล่านี้จะถูกจัดกลุ่มไว้ด้วยกันในรูปแบบของบริการที่ผู้ผลิตรวมเข้ากับ Android เวอร์ชันของตน การเข้าถึงบริการทำได้จากแอปพลิเคชันตัวที่สอง ซึ่งมีสิทธิ์การเข้าถึงแบบคลาสสิกและมีอินเทอร์เฟซผู้ใช้
ก่อนที่จะให้สิทธิ์เข้าถึงฟังก์ชันที่มีความละเอียดอ่อน บริการจะต้องยืนยันตัวตนของแอปพลิเคชันอย่างชัดเจน อย่างไรก็ตาม นี่คือจุดที่ปัญหาอยู่ นักวิจัยด้านความปลอดภัยที่ Check Point พบว่าการตรวจสอบนี้มักจะมีข้อบกพร่อง ดังนั้นผู้โจมตีจึงสามารถสร้างแอปพลิเคชันอื่นที่ได้รับการตรวจสอบโดยบริการได้เช่นกัน การสนับสนุนให้ผู้ใช้ติดตั้งแอปพลิเคชันปลอมเพื่อเข้าถึงคุณลักษณะการสอดแนมก็เพียงพอแล้ว
RSupport ไม่ใช่ผู้ให้บริการรายเดียวที่เน้น Check Point ยังพบข้อบกพร่องใน TeamViewer และ AnySupport เขาตั้งชื่อที่ค่อนข้างโอ้อวดให้กับช่องโหว่เหล่านี้ว่า "Certifi-Gate"“โดยพื้นฐานแล้ว ปัญหาคือ Google ไม่ได้ใช้ขั้นตอนการยืนยันตัวตนสำหรับสถานการณ์ประเภทนี้Ohad Bobrov ผู้อำนวยการหน่วยป้องกันภัยคุกคามบนมือถือที่ Check Point อธิบายผู้จัดพิมพ์จึงถูกบังคับให้สร้างขั้นตอนของตนเองขึ้นมา ซึ่งขั้นตอนนี้อาจไม่ได้คุณภาพที่ดีเสมอไป และในส่วนของผู้ผลิตไม่จำเป็นต้องมีวิธีในการตรวจสอบโค้ด แต่รับรองบริการโดยไม่ต้องพิจารณาอย่างใกล้ชิดเกินไป -
ในกรณีของผู้เผยแพร่ Communitake การแสวงหาผลประโยชน์ที่มุ่งร้ายยังง่ายกว่าอีกด้วย แอปพลิเคชั่นอนุญาตให้คุณเปลี่ยนการตั้งค่าเซิร์ฟเวอร์ได้โดยตรงโดยส่ง SMS แต่โค้ดทำงานได้ไม่ดีและอนุญาตให้บริการเปลี่ยนเส้นทางไปยังเซิร์ฟเวอร์บุคคลที่สามได้ ทำให้ผู้โจมตีสามารถควบคุมบริการได้ ข้อบกพร่องต่างๆ เหล่านี้ส่งผลกระทบอย่างใหญ่หลวง“อาคารผู้โดยสารหลายร้อยล้านแห่งได้รับผลกระทบ”เชื่อโอฮาด โบโบรฟ ได้รับการติดต่อจาก Check Point ผู้จัดพิมพ์ได้แก้ไขใบสมัครของตนแล้ว
อ่านเพิ่มเติม:
ไฟล์ของเราหมวกดำ และ DEF CON ลาสเวกัส
แหล่งที่มา:
บันทึกบล็อกจากจุดตรวจ
🔴 เพื่อไม่พลาดข่าวสาร 01net ติดตามเราได้ที่Google ข่าวสารetวอทส์แอพพ์-
