Исследователи взломали устройство Verizon и превратили его в мобильную шпионскую станцию устройства, которые американский оператор продает для усиления беспроводного сигнала в помещении.

Вывод, который эксперты продемонстрировали агентству Рейтер и который будет подробно описан на двух хакерских конференциях этим летом, был сделан во время интенсивных глобальных дебатов об электронной конфиденциальности, после того как сверхсекретные программы наблюдения США были раскрыты бывшим подрядчиком Агентства национальной безопасности. , Эдвард Сноуден, в прошлом месяце.

«Речь не идет о том, как АНБ будет атаковать обычных людей. Речь идет о том, как обычные люди нападают на обычных людей», — сказал Том Риттер, старший консультант охранной фирмы iSEC Partners.

Verizon сообщила, что обновила программное обеспечение на своих устройствах усиления сигнала, известных как фемтосоты или удлинители сети, чтобы предотвратить копирование хакерами методов двух экспертов.

Но Риттер сказал, что целеустремленные хакеры все еще могут найти другие способы взломать фемтосоты Verizon, а также те, которые предлагают своим клиентам около 30 операторов по всему миру.

Фемтосоты, которые действуют как крошечные вышки сотовой связи, можно приобрести непосредственно в Verizon за 250 долларов. Подержанные модели можно приобрести в Интернете примерно за 150 долларов.

Риттер и его коллега Дуг ДеПерри продемонстрировали для Reuters, как они могут прослушивать текстовые сообщения, фотографии и телефонные звонки, сделанные с помощью телефона Android и iPhone, используя фемтосоту Verizon, которую они ранее взломали.

(Видео Reuters, показывающее часть демонстрации: reut.rs/12AeGbG)

Они отказались раскрыть, как они модифицировали программное обеспечение на устройстве, заявив, что не хотят, чтобы преступникам было легче найти аналогичные способы взламывать фемтосоты.

На фото изображен значок оператора беспроводной связи Verizon на экране мобильного телефона в Энсинитасе, Калифорния, 6 июня 2013 года. Хакерские конференции Def Con в Лас-Вегасе. Ожидается, что в этих конференциях примут участие более 15 000 специалистов по безопасности и хакеров, на которых будут обсуждаться недавно обнаруженные ошибки в системах связи, смарт-телевизорах, мобильных устройствах и компьютерах, на которых работают предприятия от заводов до нефтяных вышек.

В марте компания Verizon Wireless выпустила обновление программного обеспечения для Linux, которое предотвращает компрометацию ее сетевых удлинителей способом, описанным Риттером и ДеПерри, по словам представителя компании Дэвида Сэмберга.

«Расширитель беспроводной сети Verizon остается очень безопасным и эффективным решением для наших клиентов», — говорится в заявлении Самберга. Он сказал, что не поступало сообщений о том, что обнаруженная исследователями ошибка повлияла на клиентов. Компания является совместным предприятием Verizon Communications Inc и Vodafone Group Plc.

Самберг сказал, что его компания использует внутреннюю группу безопасности, а также внешние фирмы для поиска уязвимостей в устройствах, которые она продает, до и после их выпуска.

Тем не менее, два исследователя заявили, что они могут использовать взломанную фемтосоту для слежки за телефонами Verizon даже после того, как Verizon выпустила это обновление, потому что они модифицировали устройство до того, как компания выпустила программное исправление.

Исследователи построили свою «проверочную концепцию» системы, которую они продемонстрируют в Лас-Вегасе, с фемтосотами производства Samsung Electronics Co и антенной за 50 долларов от Wilson Electronics Inc.

Они сказали, что если немного поработать, то могли бы вооружить его для скрытных атак, упаковав все оборудование, необходимое для операции наблюдения, в рюкзак, который можно было бы бросить рядом с целью, за которой они хотели следить.

Например, группа, заинтересованная в потенциальных слияниях, может разместить такой рюкзак в ресторанах Манхэттена, которые часто посещают инвестиционные банкиры. На веб-сайте Verizon говорится, что устройство имеет радиус действия 40 футов, но исследователи считают, что его можно расширить, добавив специализированные антенны.

Исследователи iSEC не первые, кто предупреждает об уязвимостях в фемтосотах, но утверждают, что они первыми взломали фемтосоты американского оператора связи, а также первыми, кто работает на беспроводном стандарте, известном как CDMA.