Receptorul GPS, noua portiţă de intrare pentru hackeri

Hackerii au descoperit o modalitate prin care pot ataca orice smartphone prevăzut cu sistem A-GPS, urmărind în permanenţă locaţia utilizatorului şi chiar preluând controlul telefonului pentru sustragerea de informaţii sau iniţierea de apeluri şi mesaje fără ştirea victimei.

Procedeul descris în cadrul conferinţei Black Hat organizată la Las Vegas, exploatează modul în care telefoanele cu funcţionalitate A-GPS obţin coordonate de localizare direct de la releele companiilor de telefonie mobilă, stabilind locaţia aproximativă mult mai rapid decât la folosirea sateliţilor GPS aflaţi pe orbita pământului. Mai exact, conexiunea stabilită pentru transferul acestor informaţii este nesecurizată, putând fi deturnată de hackeri pentru a trimite comenzi de natură să faciliteze deturnarea telefonului mobil.

Modul de desfăşurare a unui astfel de atac a fost demonstrat pe mai multe terminale cu sistem Android, de un specialist în securitate de la Universitatea din Luxenbourg pe nume Ralf-Phillip Weinmann. Acesta a arătat cum pot fi exploatate slăbiciunile conexiuni A-GPS pentru a instrui telefonul mobil să raporteze locaţia utilizatorului, ori de câte ori are loc un schimb de informaţii prin acest protocol. Weinmann a explicat că mesajele trimise nu sunt procesate de receptorul GPS sau modulul radio, ci chiar de procesorul principal al telefonului (CPU), ceea ce înseamnă că atacurile desfăşurate în acest mod pot fi folosite pentru a bloca funcţionarea telefonului, utilizând apoi mijloace complementare de atac pentru a prelua controlul asupra telefonului.

Conform specialistului care a prezentat vulnerabilităţile protocolului A-GPS, problemele pot fi rezolvate, dar din păcate producătorii de telefoane inteligente nu au implementat încă tehnologiile necesare pentru blocarea acestui tip de atac. Eforturi suplimentare trebuiesc depuse în egală măsură atât de creatorii software, cât şi producătorii hardware, pentru a nu permite ca aceste vulnerabilităţi să devină ţinte atractive pentru hackeri.