211service.com
Afluisteren van smartphonegeheimen
Nu mobiele telefoons meer op zakcomputers gaan lijken, vragen veel mensen om een nauwkeuriger onderzoek van hun beveiliging. Zulke mensen wijzen er meestal op dat de telefoons van vandaag veel lijken op de desktop-pc's van het midden van de jaren negentig. Aanvallers kunnen een enorme hoeveelheid ervaring van aanvallende desktopmachines toepassen wanneer ze op zoek zijn naar een manier om naar mobiele apparaten te gaan.
Sommige experts beweren echter dat mobiele telefoons eigenlijk eenvoudig genoeg zijn om kwetsbaar te zijn voor aanvallen die oorspronkelijk zijn ontworpen voor embedded systemen.
De telefoon is een zeer uitgeklede omgeving, zegt Benjamin Jun , vice-president technologie bij Onderzoek naar cryptografie , een beveiligingsonderzoeksbedrijf gevestigd in San Francisco, CA. Wat betekent dat iemand die het apparaat probeert aan te vallen, het over het algemeen gemakkelijker heeft, omdat het niet zo ingewikkeld is als een desktopsysteem.
Om dit aan te tonen, heeft Cryptography Research een smartcard-aanval aangepast voor gebruik tegen de huidige smartphones.
Ongeveer tien jaar geleden ontdekte het bedrijf dat een techniek die differentiële vermogensanalyse wordt genoemd, een aanvaller in staat zou stellen de cryptografische sleutels van een smartcard te extraheren door de patronen van energieverbruik te analyseren. Het blijkt dat, zegt Jun, hetzelfde type analyse de cryptografische sleutels zal onthullen die een telefoon gebruikt om toegang te krijgen tot het netwerk van een koerier of om gegevens die op het apparaat zijn opgeslagen te beveiligen. Daarentegen zou zo'n aanval op een ingewikkelder apparaat moeilijk uit te voeren zijn, simpelweg omdat een laptop bijvoorbeeld meer programma's tegelijk zou draaien en veel meer geluid zou produceren.
Bij de aanval met de smartcard moest de aanvaller in het bezit zijn van het object, maar door het aan te passen voor smartphones, vonden de onderzoekers een manier om hetzelfde soort berekeningen uit te voeren op basis van gelekte elektromagnetische signalen die werden opgevangen met een antenne.
Jun is van mening dat aanvallen op mobiele apparaten bijzonder ernstig zijn omdat deze apparaten worden gebruikt om toegang te krijgen tot hoogwaardige bedrijfsgegevens.
Maar het slechte nieuws heeft een keerzijde. Jun merkt op dat, net zoals aanvallers ervaring hebben met het misbruiken van kwetsbaarheden op embedded systemen, fabrikanten ervaring hebben met het ontwikkelen van tegenmaatregelen. Omdat embedded systemen nog meer geheugen en verwerkingskracht hebben dan de huidige mobiele apparaten, denkt hij dat deze tegenmaatregelen relatief eenvoudig te vertalen zijn naar smartphones.
De belangrijkste vraag is of beveiligingen volledig in software kunnen worden gedaan of niet, zegt Jun. Volledig op software gebaseerde oplossingen zijn het goedkoopst uit te rollen, merkt hij op. Tegenmaatregelen tegen hardware zijn echter direct beschikbaar en zijn al verzonden in miljoenen smartcards.