Как узнают сайты, на которые вы заходили с сотового телефона

Безопасность выхода в Интернет с персонального компьютера – это одна из важнейших функций всех антивирусных продуктов. Посещение Интернет-страниц при отсутствии должного уровня защиты может обернуться похищением паролей, передачей конфиденциальных данных злоумышленнику и отслеживанием переписки, как через электронную почту, так и через сайты социальных сетей, таких как «Одноклассники» или «ВКонтакте».
Но посещение Интернет-ресурсов с мобильного телефона – гораздо более опасно, а вот должной защиты или хотя бы каких-то по-настоящему эффективных антивирусных пакетов, которые защищали бы пользователя, нет. Если принять во внимание, что даже защищаемые всеми возможными способами Интернет-соединения с персонального компьютера периодически подвергаются успешным атакам злоумышленников, то мобильный выход в Интернет становится сродни безвозмездной передачи данных мошенникам. Атакующий может не только отслеживать все Интернет-ресурсы, которые вы посетили с сотового телефона, но и перехватывать все пароли.
Это могут быть пароли к личному почтовому ящику, к профилям в социальных сетях, к ICQ.
ЧТО ИСПОЛЬЗУЕТ ЗЛОУМЫШЛЕННИК ДЛЯ РЕАЛИЗАЦИИ АТАКИ?
Данная атака строится на использовании современного механизма удаленной настройки мобильных устройств, разработанного и внедряемого корпорацией «Open Mobile Alliance». Данная корпорация объединила ведущих производителей мобильных устройств и сотовых операторов с целью стандартизации мобильных технологий и разработки новых сервисов. Одним из существенных достижений альянса стала технология OMA, получившая такое название в честь корпорации.
Суть разработки заключается в следующем. (см. рисунок 1). С помощью специальных SMS-сообщений можно осуществить переконфигурацию сотового телефона для подключения таких служб, как Интернет, синхронизация с персональным компьютером, поддержка MMS-сообщений, загрузка необходимых приложений из сети. Ручная конфигурация этих услуг достаточно сложна, так как для каждого сотового оператора и для каждой модели телефона существуют свои тонкости, поэтому настройка необходимых параметров для неопытных пользователей – задача неразрешимая.
Конфигурирующие сообщения для последних моделей телефонов имеют название OMA-настройки. Для более старых моделей подобные операции получили название OTA-настройки. Почти все мобильные устройства в настоящее время поддерживают процедуры одного из двух типов. Сам механизм настроек достаточно гибок, поэтому данная технология постепенно завоевывает рынок. Частные организации нередко прибегают к разработке собственных процедур для конфигурирования корпоративных телефонов сотрудников.
Иногда такими услугами пользуются банки, что помогает им настроить мобильные кошельки на телефонах пользователей.
Для конфигурации мобильного устройства необходимо правильно составить текст настройки для каждого конкретного производителя и конкретной модели телефона. Языком описания процедуры является XML. (см. рис. 2).
Стандартные правила, по которым производятся настройки, можно скачать с сайта «Open Mobile Alliance».
После того, как XML-файл сформирован, он переводится в бинарный вид с помощью специальных конверторов. После этого, сформированное сообщение может быть отправлено через специальные SMS-шлюзы. То есть любой пользователь может самостоятельно сформировать конфигурацию, подписаться любым отправителем и отправить ее на произвольный мобильный телефон.
Отметим, что изначально OMA/OTA-настройки были спроектированы для того, чтобы обеспечить пользователю возможность удаленного конфигурирования телефона для выхода в сеть Интернет. Дело в том, что каждый оператор сотовой связи имеет свои настройки, которые необходимо установить на телефоне для выхода в сеть. Одним из таких параметров является IP-адрес DNS-сервера.
Именно эти сведения использует злоумышленник для «прослушивания» всех Интернет-соединений. Проанализируем его арсенал и методы осуществления атаки. Целью мошенника является такое пе- реконфигурирование сотового телефона, которое изменяет адрес используемого DNS-сервера. DNS-сервер обеспечивает трансляцию имен сайтов в IP-адреса.
Каждый компьютер в сети Интернет имеет два основных идентификатора – это доменное имя и IP-адрес. IP-адресов у компьютера может быть несколько и количество имен тоже может быть более одного. Причем имена ресурсов могут связываться как с одним, так и с несколькими IP-адресами. Компьютер может вообще не иметь доменного имени. Именно сопоставлением IP-адреса и указателя домена занимается DNS-сервер.
Алгоритмы, которые использует DNS-сервер, нас не интересуют. Важно, что в мобильном телефоне при настройке выхода в сеть Интернет прописывается адрес используемого DNS-сервера. К этому серверу каждый раз происходит обращение для того, чтобы получить IP-адрес ресурса, к которому хочет обратиться пользователь беспроводного устройства.
Так, если абонент хочет открыть на экране сайт http://www.website.ru , то сотовый телефон обратится к DNS-серверу, и получит от него соответствующий адрес типа NNN.YYY.BBB.TT , к которому и будет произведен запрос. Но злоумышленник может подменить DNS-сервер. Тогда вместо NNN.YYY.BBB.TT мобильное устройство получит от DNS-сервера совсем другой IP-адрес. Как правило, это указатель Proxy-сервера злоумышленника, который ретранслирует через себя все запросы пользователя.
При этом Proxy-сервер ведет подробный список всех ресурсов, к которым обращалась жертва, перехватывает все пароли. Если сервер настроен определенным образом, то он может вместо доступа к ресурсам, которые хочет увидеть атакуемый абонент, перенаправить его на альтернативные сайты. А это дает обширные возможности для мошенничества. Но ключом к реализации подобной атаки является именно подмена DNS-сервера в настройках мобильного телефона.
При получении конфигурационного сообщения на экране телефона появится предложение принять настройку. Так как злоумышленник может подписать настройку произвольным образом, то убедить жертву ее принять не так сложно. Можно подписать ее как «Перенастройка Интернета в связи со снижениями тарифа». А в качестве телефона отправителя уже известным нам способом можно указать, например, Beeline.
ЗАЩИТА ОТ АТАКИ
Как это ни парадоксально, но полностью обезопасить себя от перехвата Интернет-трафика можно только полностью отказавшись от использования сотового телефона для выхода в сеть. Однако стоит отметить, что разрабатываемые антивирусные системы могут частично снизить риски Интернет-мошенничества.