Исследование Bluetooth-сетей на InfoSecurity Europe 2006

Самым массовым средством беспроводной передачи данных в настоящее время является, пожалуй, протокол Bluetooth. Практически все современные модели мобильных телефонов имеют беспроводной модуль, позволяющий им обмениваться данными с устройствами такого же типа, а также работать с гарнитурами «hands free». «Голубой зуб» является неотъемлемой частью смартфонов, карманных компьютеров и некоторых ноутбуков.

Как любое массовое явление в сфере высоких технологий, Bluetooth быстро привлек внимание хакеров. На руку им сыграло не только наличие пользователей, не до конца понимающих особенности работы Bluetooth в телефонах, но и досадные ошибки, которые производители зачастую допускали в реализации Bluetooth на мобильных устройствах. Попросту говоря, существовали и существуют уязвимости самого протокола.

В начале этого года «Лаборатория Касперского» опубликовала обзорную статью об архитектуре Bluetooth и наиболее известных уязвимостях в ней. Наши исследования в этой области были продолжены. Кроме того, мы считаем необходимым рассматривать проблемы Bluetooth в контексте с вирусными угрозами. Мобильные телефоны уже стали жертвами компьютерных вирусов. Червь Cabir, самый распространенный из мобильных вирусов, использует для своего размножения именно Bluetooth.

Выделим три основные проблемы:

• Социальная инженерия. Хакеры могут получить доступ к данным на вашем телефоне, сначала используя Bluetooth как средство установления «доверительных отношений» или убеждения вас в снижении или отключении систем аутентификации при Bluetooth-соединении.
• Уязвимости в реализации протокола. Хакеры могут украсть данные с вашего телефона, осуществить с него звонки или отправить сообщения, провести DoS-атаку на телефон, прослушать ваши разговоры при пользовании беспроводной гарнитурой и т.д.
• Вирусная угроза. Телефон может быть заражен мобильным червем, который начнет рассылать себя с вашего телефона далее (и не только по Bluetooth, но и в виде MMS, например). Ваши данные могут быть повреждены, украдены или зашифрованы.

Необходимо отметить: для того чтобы ваш телефон был атакован, как правило, он должен иметь Bluetooth в режиме «видимости для всех». Хотя, конечно, существуют способы обнаружения телефонов с включенным, но «невидимым» Bluetooth — однако в данной статье мы их рассматривать не будем, по причине сложности их реализации. Принцип осуществления атак на мобильный с «невидимым» Bluetooth заключается в том, чтобы обнаружить телефон путем перебора или подбора его MAC-адреса. Эта процедура может занять весьма длительное время, без гарантии успешного поиска.

В конце прошлого и начале этого года, в Москве, мы провели несколько тестов. Нашей целью было собрать статистику телефонов с включенным Bluetooth. Тесты проводились в местах большого скопления людей: в супермаркетах, в метро. В ходе этих тестов обнаружилось примерно такое соотношение: около 100 устройств за один час наблюдений. Это не очень высокий показатель, однако подобная плотность все равно является весьма опасной и способна вызвать значительные заражения, если среди них окажется хотя бы один телефон, инфицированный Cabir.

Отправляясь на лондонскую выставку InfoSecurity 2006, мы планировали собрать статистику не только для беспроводных сетей Wi-Fi, но и для устройств с Bluetooth. Выставка являлась для этого отличным местом — с большим количеством посетителей. Кроме того, мы планировали проводить подобные тесты в других местах Лондона, например в метро, — чтобы сравнить полученные показатели с московскими.

Сразу надо отметить, что всего в ходе трехдневых тестов нами было обнаружено более 2000 устройств с Bluetooth в режиме «видимости для всех». Гораздо больше половины этой цифры приходится на InfoSecurity, на устройства посетителей и сотрудников компаний. Наши партнеры, финская компания F-Secure, проводила похожий сбор данных на недавнем CeBIT 2006. Там количество обнаруженных устройств составило около 12000. Если учесть, что CeBIT по своим масштабам более чем в 15 раз превосходит InfoSecurity, то можно заметить относительное равенство наших и финских результатов.

Кроме непосредственно сбора статистики, которую мы также использовали практически в режиме реального времени в наших презентациях на стенде «Лаборатории Касперского», мы занимались «ловлей на живца» мобильных вирусов. Для этого в конфигурации наших ноутбуков и телефонов был выбран режим «видимости для всех», с отключенной авторизацией на прием файлов и автоматическим сохранением всех принимаемых данных. Имена «ловушкам» также были даны с учетом того, что большинство мобильных червей копируют себя на первое в списке найденных ими устройств.

Для проведения тестов использовалось программное обеспечение Blue Soleil, Blue Auditor и BTScanner.

Первая часть тестов проводилась в павильонах InfoSecurity. В первые дни выставки количество обнаруженных устройств было настолько большим, что наши сканеры буквально захлебывались в попытке обработать данные и опросить все устройства. В радиусе 100 метров постоянно находилось не менее 100 устройств. В последний день выставки, когда поток посетителей несколько спал, — за один час мне удалось обнаружить более 700 устройств! Понятно, что, окажись на выставке зараженный телефон, в течение нескольких десятков минут атакам червя подверглись бы практически все уязвимые устройства.

Вторая часть тестов проходила одновременно с исследованием беспроводных сетей в районе Canary Wharf, а также в час пик в лондонском метро и на нескольких вокзалах Лондона (Виктория, Кинг-Кросс, Ватерлоо).

Существуют теоретические расчеты вероятностей эпидемий мобильных вирусов, основанные на данных о биологических эпидемиях обычных вирусов и некоторых моделях математической эпидемиологии. Так вот, согласно этим расчетам, при обычном количестве устройств на квадратный метр мобильный червь может поразить практически все уязвимые смартфоны в Москве в течение 15 дней. Конечно, в реальности это время будет значительно больше, однако риск возникновения локальных эпидемий весьма и весьма велик. Тем более что в прошлом году в Хельсинки, на стадионе, где проходил чемпионат мира по легкой атлетике, подобная локальная эпидемия действительно прошла (данные F-Secure).

Типы устройств

Посмотрим, какие же именно устройства имеют Bluetooth модуль.

Видно, что подавляющее большинство — это обычные мобильные телефоны. Они составляют почти 70% от общего числа, и это вполне ожидаемая цифра. Это телефоны без полноценной операционной системы, и можно только теоретически предположить, что они подвергнутся угрозе вирусного заражения — со стороны вредоносных программ, реализованных на Java for Mobile. Однако все эти телефоны остаются уязвимыми из-за проблем в самом Bluetooth, о которых мы писали выше. В ходе московских тестов было установлено, что примерно 25% устройств являются уязвимыми для атаки Blue Snarf.

Мы не собирали такие данные на InfoSecurity, поскольку вполне вероятно, что в Великобритании подобное сканирование на уязвимость может считаться преступлением. Мы ограничились только той открытой информацией, которая передается любым устройством, и на основании этих данных сделали некоторые собственные выводы.

Вторым по популярности типом устройств являются смартфоны. Их доля приближается к 25%, что заставляет констатировать все более и более растущую популярность телефонов с операционными системами Windows Mobile и Symbian. При таких темпах роста — соотношение телефон/смартфон может сравняться уже в следующем году. Именно смартфоны (на базе Symbian) являются основной мишенью мобильных вирусов. С ростом популярности Windows Mobile (во многих странах она уже обошла Symbian), несомненно, возникнет и большое количество вирусов для нее.

Третье место заняли ноутбуки с Bluetooth-адаптерами. Хотя их число и невелико (чуть больше 3%), однако риск хакерской атаки на них, по нашему мнению, выше, чем риск атаки на обычный телефон/смартфон. А причина такова: данные, хранящиеся в ноутбуке, гораздо более обширны и привлекательны для злоумышленника, чем телефонные данные.

Из прочих устройств стоит отметить весьма небольшой процент карманных компьютеров (Palm sized PC-PDA и Handheld PC-PDA) — в сумме они не дотягивают и до 2%. Это неожиданный показатель, который может косвенно свидетельствовать о том, что подавляющее число пользователей таких устройств — хорошо осведомлены о проблемах с Bluetooth и соблюдают необходимые меры предосторожности.

Всего было обнаружено более 2000 устройств 12 разных типов. В их число также вошли Uncategorised и Miscellaneous, однако они составили всего 1%.

Производители оборудования

Это весьма интересный показатель, который позволяет сделать выводы о многих параметрах и структуре рынка. Например, на основании информации о производителе устройства можно установить операционную систему (применительно к смартфонам/КПК) или получить маркетинговые данные о популярности производителей.

Всего было обнаружено оборудование 35 производителей. Наиболее распространенными являются устройства 6 производителей — они составили более 67% от общего числа.

В значительном числе случаев — примерно в 25,5% — производитель установлен не был.

Видно, что телефоны Nokia являются абсолютными лидерами среди всех устройств. Второе место занимают телефоны от Sony Ericsson. Шестое место среди устройств занимает USI — оно было достигнуто за счет использования в компьютерах и ноутбуках.

Раз уж мы заговорили о том, какое именно оборудование делают производители и где используются их чипсеты, то полезно будет взглянуть на следующие данные по лидерам:

Доступные сервисы

Данные о доступных сервисах представляют наибольший интерес как с точки зрения возможности проведения хакерских атак, так и с точки зрения возможности вирусного заражения. Когда некое устройство устанавливает Bluetooth-соединение с другим устройством, оно предоставляет некоторый набор своих сервисов для использования с соединенного устройства. Допустим, вы создали коннект с неким вашим знакомым, для того чтобы обменяться с ним данными, но одновременно ваш телефон может дать ему возможность осуществлять с вашего телефона звонки, отправлять sms, просматривать вашу адресную книгу и так далее. Понятно, что на месте вашего знакомого может оказаться и хакер — путей для этого у него два: социальный инжиниринг или уязвимости в протоколе Bluetooth.

Собранная нами информация по сервисам позволяет понять, что же вообще может быть доступно для злоумышленника.

Сначала посмотрим на суммарные данные по всем сервисам. Всего более чем на 2000 устройствах нами было обнаружено примерно 6000 сервисов, распределенных следующим образом:

Понятно, что, исходя из соотношения 6000 к 2000, в среднем на каждом найденном устройстве доступно примерно три сервиса. Встречались устройства с доступными 5-6 сервисами.

Как видно — самыми распространенными являются три сервиса:

• Object Transfer (прием-передача файлов). Используется более чем в 90% устройств;
• Telephony (осуществление звонков, отправка сообщений). Используется более чем в 90%;
• Networking (позволяет осуществлять доступ в интернет и использовать встроенные модемы). Используется более чем в 65% устройств.

Поскольку нас интересуют в первую очередь телефоны и смартфоны как наиболее распространенные типы Bluetooth-устройств, то статистику по сервисам для них мы рассмотрим отдельно.

Смартфоны

Для смартфонов соотношение «устройствоколичество сервисов» составляет примерно 1 к 2.

Здесь мы видим весьма значительное отличие от общей статистики.

Если в общем самым популярным сервисом был OBEX, то на смартфонах он занимает второе место с показателем менее 90%, а вот лидером является обычная Telephony — почти 99%. Третье место также весьма удивительно — вместо Networking им стал Audio. Получается, что смартфоны используются для работы с беспроводными звуковыми устройствами гораздо более активно, чем для объединения устройств в сети.

Однако не будем забывать о том, что именно смартфоны являются основной мишенью мобильных вирусов, и для их распространения необходим именно сервис Object Transfer. Из общего числа найденных смартфонов около 30% это смартфоны от Nokia. Это означает использование в них операционной системы Symbian, которая является сейчас основной платформой для функционирования мобильных вирусов, в том числе и червей Cabir и ComWar.

Телефоны

Для телефонов соотношение «устройство / количество сервисов» составляет примерно 1 к 3. Это неожиданный показатель, поскольку функциональность у смартфонов гораздо выше, чем у обычных мобильных телефонов, однако, вероятней всего, это следствие того, что политики безопасности для сервисов и их доступность на смартфонах сконфигурированы более правильно.

Здесь тройка лидеров среди сервисов отличается от общей статистики весьма незначительно (трудно было ожидать иного, исходя из того, что телефоны составили почти 70% всех найденных устройств).

Впрочем в паре «OBEX/Telephony» ситуация обратна смартфоновской. На телефонах передача файлов гораздо доступней — более 97% против 80% на смартфонах. Сервис Networking также значительно более распространен и подбирается к 90%.

Фактически получается, что уязвимости, доступные при использовании сервиса Telephony, одинаково опасны как для телефонов, так и для смартфонов. Уязвимости и вирусные атаки, основанные на приеме-передаче файлов, опасней для обычных телефонов, чем для смартфонов. Сервис Networking, который лежит в основе еще ряда атак, также более распространен на телефонах, чем на смартфонах.

Что же касается наших попыток ловли мобильных вирусов «на живца», то нам так и не удалось принять ни одного зараженного файла. Нами не было зафиксировано ни одной попытки передачи зараженных файлов. В то же время мы периодически получали запросы на прием файлов от различных устройств, в основном в ходе наших городских тестов. Однако все они оказались обычными — в Лондоне, как и в Москве, очевидно, также распространено увлечение bluejacking, когда люди просто обмениваются файлами (музыкой, картинками, играми), или же эти файлы были отправлены и нам просто по ошибке. В принципе, такой «беспорядочный» обмен файлами может представлять взаимную опасность как для отправляющего, так и для принимающего. Отправляющий может послать важный файл не тому «адресату», а получающий может привыкнуть к тому, что ему всегда присылают что-то безобидное, и также спокойно принять и запустить файл червя или троянца.

Результаты наших тестов позволяют еще раз сделать вывод о том, что необходимо дальнейшее просвещение пользователей на тему угроз, которые несет использование Bluetooth. Компаниям-производителям телефонов и смартфонов также следует уделять больше внимания проблемам безопасности при реализации Bluetooth и составу тех сервисов, которые могут быть через него использованы.