3G og 4G USB-modemer er en sikkerhedstrussel, siger forsker

De fleste 3G og 4G USB-modemmer uddelt af mobiloperatører til deres kunder fremstilles af en håndfuld af virksomheder og køre usikker software, ifølge to sikkerhedsforskere fra Rusland.

Forskere Nikita Tarakanov og Oleg Kupreev analyserede sikkerheden for 3G / 4G USB-modemer, der er opnået fra russiske operatører i de seneste måneder. Deres resultater blev præsenteret torsdag på Black Hat Europe 2013-sikkerhedskonferencen i Amsterdam.

De fleste 3G / 4G-modemer, der anvendes i Rusland, Europa og sandsynligvis andre steder i verden, er lavet af kinesiske hardwareproducenter Huawei og ZTE og mærkes med mobiloperatørernes logoer og varemærker, sagde Tarakanov. På grund af dette var resultaterne også relevante i andre dele af verden, selv om forskningen primært var udført på Huawei-modemmer fra russiske operatører.

[Yderligere læsning: Sådan fjernes malware fra din Windows-pc]

Tarakanov sagde, at de ikke kunne teste basebandangreb mod Qualcomm-chipsene inden for modemerne, fordi det er ulovligt i Rusland at drive din egen GSM-basestation, hvis du ikke er et intelligensbureau eller en telekomoperatør. "Vi skal sandsynligvis flytte til et andet land i et par måneder for at gøre det," sagde han.

Der er stadig meget at undersøge med hensyn til hardwareens sikkerhed. For eksempel har SoC (system på en chip), der anvendes i mange modemer, Bluetooth-funktion, der er deaktiveret fra firmwaren, men det kan være muligt at aktivere det, siger forskeren.

For tiden testede forskerne softwaren forudindlæst på modemene og fundet flere måder at angribe eller bruge i angreb.

For det er det let at lave et billede af USB-modemets filsystem, ændre det og skrive det på modemet igen. Der er et værktøj til rådighed fra Huawei til at lave modem backup og gendannelse, men der er også gratis værktøjer, der understøtter modemer fra andre producenter, siger Tarakanov.

Malware, der kører på computeren, kunne registrere modellen og versionen af ​​det aktive 3G modem og kunne skriv et billede med ondsindede tilpasninger til det ved hjælp af sådanne værktøjer. Modemet vil så kompromittere enhver computer, den bruges på.

Modemet indeholder installationsprogrammet til et program, der installeres på computeren, samt de nødvendige drivere til forskellige operativsystemer. Programmet giver brugeren mulighed for at stoppe, starte og styre internetforbindelsen etableret via modemet.

Konfigurationsfilerne til det installerede program såvel som dem i applikationsinstallatøren, der er gemt på modemmet, er i almindelig tekst og kan være let modificeret. En indstilling i konfigurationsfilerne definerer, hvilke DNS-servere modemet skal bruge til internetforbindelsen.

En angriber kan ændre disse poster til servere, der kontrolleres af angriberen, sagde Tarakanov. Dette ville give angriberen mulighed for at lede brugere til skurksteder, når de forsøger at besøge legitime dem, der bruger modemforbindelsen.

Selvom applikationsinstallatøren selv ikke kan ændres direkte for at indlæse malware, fordi det er en underskrevet eksekverbar, er der nogle poster i sin konfigurationsfil, der kan bruges til dette formål.

For eksempel havde mange konfigurationsfiler stier til antivirusinstallatører og en mulighed for at installere disse programmer eller ej, sagde Tarakanov. Forskeren sagde, at han aldrig fandt et antivirusinstallationsprogram, der blev sendt med de USB-modemer, han testede, men funktionen var der.

En angriber kunne oprette et brugerdefineret billede med en ændret konfigurationsfil, der aktiverer denne funktion og installerer en ondsindet fil gemt på modemet i stedet for et antivirusprogram. Hvis billedet er skrevet på et USB-modem, vil hverken brugeren installere modemprogrammet blive installeret, siger Tarakanov.

Forskerne fandt også en mulig masseangrebsvektor. Når det er installeret på en computer, tjekker modemprogrammet - i det mindste det fra Huawei - periodisk for opdateringer fra en enkelt server, sagde Tarakanov. Software, der er mærket til en bestemt operatørsøgers efter opdateringer i en serverkatalog, der er specifik for den pågældende operatør.

En angriber, der er i stand til at kompromittere denne opdateringsserver, kan starte masseangreb mod brugere fra mange operatører, siger Tarakanov. Huawei 3G-modemmer fra flere forskellige russiske operatører brugte samme server, men der kunne være andre opdateringsservere til andre lande, sagde han.

Tarakanov sagde, at han ikke søgte sårbarheder i de faktiske modemdrivere installeret i OS'en, men han forventer, at de har sårbarheder. Det store flertal af tredjepartsdrivere har generelt sårbarheder, sagde han.

Tarakanov har specialiseret sig i at udnytte skrivning og finde sårbarheder i Windows-kernelmodedriverne. Men Oleg Kupreev var leder for dette særlige forskningsprojekt vedrørende 3G / 4G-modemer.

Forskning på dette område er lige i begyndelsen, og der er mere at undersøge, Tarakanov sagde. Nogen skal gøre det, fordi mange nye laptops leveres med 3G / 4G-modemmer, der er direkte indbygget, og folk skal vide, om de er en sikkerhedstrussel.