как воруют трафик с телефона
Исследование: Перехват трафика мобильного Интернета через GTP и GRX
Большинство абонентов считают, что работа через сотовую сеть достаточно безопасна, ведь крупный оператор связи наверняка позаботился о защите. Увы, на практике в мобильном Интернете есть множество лазеек, дающих широкие возможности для злоумышленников.
Исследователи Positive Technologies обнаружили уязвимости в инфраструктуре сетей мобильной связи, которые позволяют перехватывать GPRS-трафик в открытом виде, подменять данные, блокировать доступ к Интернету, определять местоположение абонента. Под угрозой оказываются не только мобильные телефоны, но и специализированные устройства, подключенные к 2G/3G/4G-сетям с помощью модемов: банкоматы и терминалы оплаты, системы удаленного управления транспортом и промышленным оборудованием, средства телеметрии и мониторинга и т.д.
Операторы сотовой связи, как правило, шифруют трафик GPRS между мобильным терминалом (смартфоном, модемом) и узлом обслуживания абонентов (SGSN) алгоритмами GEA-1/2/3, что осложняет перехват и расшифровку информации. Чтобы обойти это ограничение, злоумышленник может проникнуть в опорную сеть оператора, где данные не защищены механизмами аутентификации. Ахиллесовой пятой являются узлы маршрутизации (или шлюзовые узлы), которые называются GGSN. Их легко обнаружить, в частности, с помощью поисковика Shodan. У проблемных узлов открыты GTP-порты, что позволяет атакующему установить соединение, а затем инкапсулировать в созданный туннель управляющие пакеты GTP. При правильном подборе параметров GGSN воспримет их как пакеты от легитимных устройств сети оператора.
Протокол GTP, описанный выше, никаким образом не должен быть «виден» со стороны Интернета. Но на практике это не так: в Интернете имеется более 207 тысяч устройств по всему земному шару с открытыми GTP-портами. Более полутысячи из них являются компонентами сотовой сети и отвечают на запрос об установлении соединения.
Еще одна возможность для атак связана с тем, что GTP — далеко не единственный протокол управления на найденных узлах. Также встречаются Telnet, FTP, SSH, Web и др. Используя уязвимости в этих интерфейсах (например, стандартные пароли), нарушитель может подключиться к узлу оператора мобильной связи.
Экспериментальный поиск по сайту Shodan выдает несколько уязвимых устройств, в том числе с открытым Telnet и отключенным паролем. Достаточно подключиться к данному устройству и произвести в нем необходимые настройки для того, чтобы оказаться внутри сети оператора в Центральноафриканской Республике.
При этом всякий, кто получил доступ к шлюзовому узлу любого оператора, автоматически получает доступ к сети GRX, которая объединяет всех сотовых операторов и используется для предоставления доступа к Интернету абонентам в роуминге. Воспользовавшись единичной ошибкой в конфигурации на одном устройстве, злоумышленник получает возможность проводить различные атаки на абонентов любого оператора в мире.
Среди множества вариантов использования скомпрометированного пограничного узла следует отметить следующие: отключение абонентов от Интернета или блокировка их доступа к нему; подключение к Интернету под видом другого абонента и за чужой счёт; перехват трафика жертвы и фишинг. Злоумышленник также может определить идентификатор абонента (IMSI) и следить за местоположением абонента по всему миру, пока он не сменит SIM-карту.
Опишем некоторые угрозы более подробно.
Интернет за чужой счет
Цель: исчерпание счета абонента, использование подключения в противозаконных целях.
Вектор атаки: злоумышленник действует через сеть GRX или из сети оператора.
Атака заключается в отправке пакетов «Create PDP context request» с IMSI известного заранее абонента, таким образом происходит подключение к сети с его учетными данным. Ничего не подозревающий абонент получит огромные счета.
Возможно подключение с IMSI несуществующего абонента, так как авторизация абонента происходит на этапе подключения к SGSN, а к GGSN доходят уже «проверенные» соединения. Поскольку SGSN в данном случае скомпрометирован, никакой проверки не проводилось.
Результат: подключение к сети Интернет под видом легитимного абонента.
Перехват данных
Цель: подслушивание трафика жертвы, фишинг.
Вектор атаки: злоумышленник действует через сеть GRX или из сети оператора.
Злоумышленник может перехватить данные, передающиеся между абонентским устройством и сетью Интернет, путем отправки на обслуживающий SGSN и GGSN сообщения «Update PDP Context Request» с подмененными адресами GSN. Данная атака представляет собой аналог атаки ARP Spoofing на уровне протокола GTP.
Результат: подслушивание или подмена трафика жертвы, раскрытие конфиденциальной информации.
DNS-туннелирование
Цель: получить нетарифицируемый доступ к Интернету со стороны мобильной станции абонента.
Вектор атаки: злоумышленник — абонент сотовой сети, действует через мобильный телефон.
Давно известная атака, уходящая корнями во времена dial-up, потерявшая смысл при появлении дешевого и быстрого выделенного Интернета. Однако в мобильных сетях находит применение, например, в роуминге, когда цены за мобильный Интернет неоправданно высоки, а скорость передачи данных не так важна (например, для проверки почты).
Суть атаки в том, что некоторые операторы не тарифицируют DNS-трафик, обычно для того, чтобы переадресовать абонента на страницу оператора для пополнения счета. Этим можно воспользоваться — путем отправления специализированных запросов на DNS-сервер; также для этого необходим специализированный узел в интернете, через который будет осуществляться доступ.
Результат: получение нетарифицируемого доступа к сети Интернет за счет оператора сотовой связи.
Подмена DNS на GGSN
Цель: подслушивание трафика жертвы, фишинг.
Вектор атаки: злоумышленник действует через Интернет.
В случае получения доступа к GGSN (что, как мы уже заметили, вполне возможно) можно подменить адрес DNS на свой, перенаправить весь абонентский трафик через свой узел и таким образом осуществить «подслушивание» всего мобильного трафика.
Результат: подслушивание или подмена трафика всех абонентов, сбор конфиденциальных данных, фишинг
Как защититься
Некоторые подобные атаки были бы невозможны при правильной настройке оборудования. Но результаты исследования Positive Technologies говорят о том, что некорректная настройка — отнюдь не редкость в мире телекоммуникационных компаний. Зачастую и производители устройств оставляют включенными некоторые сервисы, которые должны быть отключены на данном оборудовании, что дает нарушителям дополнительные возможности. В связи с большим количество узлов подобный контроль рекомендуется автоматизировать с использованием специализированных средств, таких как MaxPatrol.
В целом, необходимые для защиты от таких атак меры безопасности включают правильную настройку оборудования, использование межсетевых экранов на границах сети GRX и Интернета, использование рекомендаций 3GPP TS 33.210 для настройки безопасности внутри сети PS-Core, мониторинг защищенности периметра, а также выработку безопасных стандартов конфигурации оборудования и периодический контроль соответствия этим стандартам.
Ряд специалистов возлагают надежды на новые стандарты связи, которые включают и новые технологии безопасности. Однако, несмотря на появление таких стандартов (3G, 4G), совсем отказаться от сетей старого поколения (2G) не удастся. Причиной этого являются особенности реализации мобильных сетей, в частности то, что у базовых станций 2G лучше покрытие, а также то, что на их инфраструктуре работают и сети 3G. В стандарте LTE все так же используется протокол GTP, а поэтому необходимые меры по защите будут актуальными в обозримом будущем.
Перехват аккаунтов пользователей в Wi-Fi-сетях с Android
Итак, что вообще делает программа?
Она перехватывает пакеты, ходящие в Wi-Fi сети, одним нажатием кнопки на Android-устройстве.
А причём тут пароли?
Допустим, некий Иннокентий вошёл в кафе выпить чашку кофе и полазить по фейсбуку. Вы запускаете DroidSheep и через некоторое время начинаете просматривать страницу Facebook Иннокентия. Смотреть его друзей. Читать его сообщения. Писать сообщения. Писать на стене. Удалить друзей. Удалить аккаунт Иннокентия… Даже не зная его лично.
Как это произошло?
Когда Иннокентий использует Wi-Fi-сеть, его ноутбук или смартфон отправляет все данные, предназначенные для Facebook, по воздуху на беспроводной маршрутизатор кафе. «По воздуху» в нашем случае означает «видимые всеми», Вы можете прочитать все данные, передаваемые Иннокентием. Поскольку некоторые данные шифруются перед отправкой, пароль от Facebook вы прочитать не сможете, но чтобы Иннокентий не вводил свой пароль после каждого клика, Facebook посылает Иннокентию так называемый «идентификатор сессии» после входа в систему, которое Иннокентий посылает сайту при взаимодействии с ним. Как правило, только Иннокентий знает этот идентификатор, так как он получает его в зашифрованном виде. Но когда он использует Wi-Fi в кафе, он распространяет свой идентификатор сессии по wi-fi для всех. Вы принимаете это идентификатор сессии и используете его: facebook не может определить, если и Иннокентий, и Вы используете один идентификатор.
DroidSheep делает этот механизм простым в использовании, нужно просто запустить DroidSheep, нажать «Пуск» и подождать, пока кто-то начнет пользоваться одним из поддерживаемых веб-сайтов. «Прыгнуть» в чужую сессию можно лишь одним кликом по экрану. Вот и все.
Что нужно для запуска DroidSheep?
— Android-устройство версии старше 2.1
— Root-доступ
— DroidSheep (QR-код и ссылка на загрузку в конце статьи)
Какие сайты DroidSheep поддерживает по умолчанию?
— Amazon.com
— Facebook.com
— Flickr.com
— Twitter.com
— Linkedin.com
— Yahoo.com
— Live.com
— Google.com (незашифрованные)
Но есть ещё и «общий» режим! Просто включите его, и DroidSheep будет фиксировать все аккаунты в сети! Успешно протестирована с огромным количество уже поддерживаемых аккаунтов и многих других (даже с WordPress и Joomla должны работать!)
Запароленные Wi-Fi сети
Для защищенных WPA/WPA2 Wi-Fi-сетей программа использует DNS-Spoofing атаки.
ARP-Spoofing означает, что она заставляет все устройства в сети думать, что DroidSheep — маршрутизатор, и пропускает все данные через себя. Это может оказать существенное влияние на скорость работы сети, так что пользуйтесь с осторожностью.
Итак, как пользоваться?
Перед началом убедитесь, что ваш телефон поддерживает root, без него программа работать не будет!
Установка:
С сайта автора — http://droidsheep.de/?page_id=23
Или по QR-коду —
Использование:
Убедитесь, что ваш телефон подключен к WiFi-сети, запустите DroidSheep и нажмите кнопку «Start». Теперь DroidSheep будет прослушивать сеансы. Как только он перехватил маркер сеанса, он покажет его как запись в списке.
Если вы перехватили хождение по нескольким сайтам, вы увидите список как на картинке. Аккаунты, определяемые DroidSheep по умолчаню окрашены в зеленый, перехваченные в общем режиме — в желтый.
В общем режиме появятся и не нужные вам сайты, типа рекламных, их можно добавить в черный список, чтобы не видеть их в программе. Для очистки всего черного списка перейдите в главное меню, нажмите меню и выберите «очистить черный список».
Вот и всё!
Как использовать программу (видео): droidsheep.de/?page_id=14
И последнее.
Быстро все подняли руку и сказали: «Я клянусь, что буду пользовать программу только для исследования работы протоколов сети»
Какие приложения в смартфоне воруют ваш трафик
Существуют программы, которые задействуют в работе данные только во время использования приложения, а есть такие, которые пользуются интернетом без вашего уведомления.
Большинство приложений на телефоне, особенно скачанные уже после покупки гаджета, используют интернет-трафик. Чтобы тариф на мобильный интернет не закончился раньше времени, следует учесть несколько моментов, рассказал ведущий эксперт АНО «Диалог» Тимофей Ви.
Даже если количество гигабайт у вас не фиксируются помесячно, многие мобильные операторы замедляют скорость интернета после использования определенного объема данных.
«Это может быть критически важно в ситуации, когда отправка файла или документа должна произойти как можно быстрее», — сказал эксперт.
Отдельно можно выделить ситуации с интернетом за рубежом. Почти всегда, неважно роуминг это или местная сим-карта, интернет предоставляется не безлимитно, он ограничен по объему и стоит на порядок дороже, чем на обычном российском тарифе.
«Поэтому чтобы неожиданно не остаться без Instagram в отпуске, имеет смысл следить за расходом интернет-трафика и ограничивать его у наиболее прожорливых приложений», — отметил специалист.
Самый простой и быстрый способ для анализа потребления интернета находится в настройках телефона. На разных операционных системах название немного отличается, но в большинстве случаев — это «Передача данных».
Именно там смартфон сам рассчитывает количество трафика, которые используют различные приложения. Эта информация может предоставляться как списком, — от самого «затратного» потребителя интернета до наименее используемого, — так и графиком.
Таким образом можно понять, куда уходит большая часть трафика, постараться меньше заходить в эти программы или включить функцию передачи данных только по Wi-Fi для наиболее затратных приложений.
Также в настройках находится «Умное потребление трафика», с помощью которого можно самостоятельно выбрать временной промежуток, в котором будут работать приложения.
Автообновление приложений и операционной системы в целом — это также сильная нагрузка на мобильный интернет. Отдельно следует предостеречь от автоматической загрузки всех фото и видео из вашей галереи в облачные сервисы Google Photo или iCloud.
Если не отключить эту функцию, она может за очень короткое время полностью израсходовать пакет интернета. Особенно чувствительно это может быть именно за рубежом.
1,897 Всего просмотров, 1 Просмотров за сегодня
Эксперт рассказал, какие приложения в смартфоне воруют ваш трафик
МОСКВА, 12 мая — ПРАЙМ. Практически все приложения на телефоне, особенно скачанные уже после покупки гаджета, используют интернет-трафик. Существуют программы, которые задействуют в работе данные только во время использования приложения, а есть такие, которые пользуются интернетом без вашего уведомления. Чтобы тариф на мобильный интернет не закончился раньше времени, следует учесть несколько моментов, рассказал агентству «Прайм» ведущий эксперт АНО «Диалог» Тимофей Ви.
Даже если количество гигабайт у вас не фиксируются помесячно, многие мобильные операторы замедляют скорость интернета после использования определенного объема данных.
«Это может быть критически важно в ситуации, когда отправка файла или документа должна произойти как можно быстрее», — сказал эксперт.
Данные миллионов пользователей VPN-сервисов утекли в Сеть
Почти всегда, неважно роуминг это или местная сим-карта, интернет предоставляется не безлимитно, он ограничен по объему и стоит на порядок дороже, чем на обычном российском тарифе. «Поэтому чтобы неожиданно не остаться без Instagram в отпуске, имеет смысл следить за расходом интернет-трафика и ограничивать его у наиболее прожорливых приложений», — отметил специалист.
Самый простой и быстрый способ для анализа потребления интернета находится в настройках телефона. На разных операционных системах название немного отличается, но в большинстве случаев — это «Передача данных».
Именно там смартфон сам рассчитывает количество трафика, которые используют различные приложения. Эта информация может предоставляться как списком, — от самого «затратного» потребителя интернета до наименее используемого, — так и графиком.
Таким образом можно понять, куда уходит большая часть трафика, постараться меньше заходить в эти программы или включить функцию передачи данных только по Wi-Fi для наиболее затратных приложений. Также в настройках находится «Умное потребление трафика», с помощью которого можно самостоятельно выбрать временной промежуток, в котором будут работать приложения.
Автообновление приложений и операционной системы в целом — это также сильная нагрузка на мобильный интернет. «Отключите автоматические обновление и «апдейтите» телефон и установленные приложения только с помощью Wi-Fi», — советует эксперт.
Отдельно следует предостеречь от автоматической загрузки всех фото и видео из вашей галереи в облачные сервисы Google Photo или iCloud. Если не отключить эту функцию, она может за очень короткое время полностью израсходовать пакет интернета. Особенно чувствительно это может быть именно за рубежом.
«Наконец, часто незаметно «подворовывает» интернет-реклама в приложениях — она довольно часто бывает в формате баннеров и видеороликов, которые являются достаточно тяжелым для трафика контентом. Здесь можно поискать аналогичный апп без рекламы или даже воспользоваться платной версией без сторонних промо», — заключил Тимофей Ви.
У вас воруют интернет? Не допускайте этого!
Интернет в России не очень дорогой, и вариантов подключения — великое множество, особенно для жителей крупных городов. Мы не мудрствуем лукаво и покупаем пакеты с безлимитным трафиком, чтобы не отвлекаться на отслеживание просмотренного и скачанного контента. Но даже при таких условиях обидно, если этот оплаченный своими кровными интернет воруют. И еще нужно учесть, что «несанкционированные» подключения ухудшают качество вашей связи. В общем, в любом случае злоумышленников хотелось бы отвадить. Как это сделать и обезопасить себя?
Как узнать, что у вас воруют интернет
Есть несколько способов определить, что к вашему wi-fi кто-то подключился:
Как обезопасить свой интернет?
Чтобы к вам не подключались легко, пользуйтесь простыми правилами.
1. Используйте сложные логин и пароль. Совет самый банальный, тем не менее он работает. Многие злоумышленники подключаются к чужим сетям, просто подбирая пароль. Не всегда это делается вручную, чаще для этого используются специальные программы. Но чем проще пароль, тем легче его подобрать.
2. Выберите протокол шифрования. Сделать это можно в меню беспроводного соединения в разделе «Защита» или «Шифрование».
3. Создайте белый список MAC-адресов. Это те адреса, которые могут подключаться к вашей сети, остальным будет отказано в доступе. Но имейте в виду, что сделать это достаточно непросто, и потребуется как следует изучить вопрос, попросить кого-то о помощи или предпочесть другой способ.
Что делать, если к вам кто-то подключился?
1. Можно внести MAC-адрес взломщика в черный список. Каким образом это можно сделать для разных систем, вы без проблем найдете в интернете. Это обезопасит вас на какое-то время, если злоумышленник не догадается сменить или замаскировать свой адрес, то навсегда.
2. Сбросьте настройки роутера. Они сбросятся до заводских, злоумышленник будет отключен, а за это время вы можете поменять пароль на маршрутизаторе.
Важно! Заранее узнайте заводские логин и пароль для вашего роутера. Они вам понадобятся.
Как сбросить настройки? При помощи кнопки Reset. Она обычно нажимается при помощи иголки или скрепки. Нужно нажать и подержать где-то 8-10 секунд.
После этого вы можете настроить его заново, уже с такими параметрами, чтобы к вам было сложнее подключиться.
И, наконец, рассмотрим еще один вопрос. Можно ли привлечь нарушителя к ответственности?
Если говорить об ответственности за пользование чужим интернетом, то ситуация двоякая. Закон предусматривает ответственность за несанкционированный доступ к охраняемой компьютерной информации (ст. 272, 273, 274 УК РФ). Чаще всего о какой-то реальной ответственности речь идет в том случае, если действие злоумышленника повлекло за собой уничтожение, блокирование, модификацию или копирование информации. Если вор ничего подобного не делал, только пользовался вашим интернетом, ему нельзя будет ничего по этим статьям предъявить.
Впрочем, есть ответственность за создание, распространение или использование программ, заведомо предназначенных для уничтожения, блокирования, модификации, копирования данных. Но опять же, если вы не сможете доказать, что злоумышленники преследовали именно эти цели, с большой долей вероятности не удастся доказать, что они причинили существенный ущерб, ответственности они не будут нести.
Однако есть вот такой нюанс: если действия злоумышленника повлекли за собой имущественные потери (пришлось переплачивать провайдеру, заказывать дополнительный трафик, и так далее), то судиться можно по статье 165 УК РФ (за причинение имущественного ущерба собственнику или иному владельцу имуществом). Но! Пикантный нюанс в том, что эту статью можно применять только в том случае, если ущерб причинен на сумму свыше 250000 рублей.