❯ Интро

Нам каждый раз рассказывают про то, что если подключиться к публичному Wi-Fi, то может случиться что-то ужасное. А, собственно, что? 

• Трафик перехватят;

• Пароли утекут;

• Смартфон будет взломан;

• Установят какой-то мессенджер без вашего согласия.

Причем транслируют инструкции «не пользоваться публичными/открытыми Wi-Fi» множество ИБ-компаний, включая вполне именитых экспертов. Но, кажется, это карго-культ 2015 года, и давайте попробуем разобраться, почему и как так вышло!

Дисклеймер! В статье умышленно рассматривается самый частый сценарий — подключение к Wi-Fi смартфона обычного человека. А не того, кто находится в розыске ФСБ/ФБР/Интерпола. Подключение ноутбука же ныне значительно более редкий и очень детерминированный сценарий, ведь выстрелить себе в ногу с небезопасной настройкой ноута значительно проще, особенно если ты из IT.

Итак, обычный человек, обычный современный смартфон. Поехали?

❯ Современные векторы атак и их ограничения

В современном мире массовых атак есть разница между атаками на Андроид и IOS устройства. Из-за большей открытости и более простой установки неподписанных приложений на Андроид именно эта платформа стала основной целью массовых атак.

В рамках нашего повествования это не так существенно, поэтому я буду упоминать обезличенный «смартфон» и лишь по необходимости уточнять ОС, где есть существенная разница с точки зрения безопасности.

Объект нашего исследования — смартфон Васи, который, возможно, не самый новый флагман, но еще поддерживается ответственным производителем! На момент написания статьи под это описание подходят десятки моделей смартфонов, выпущенных с 2020 года.

Злоумышленник, назовем его GarNik (никнейм выдуман автором), которого мы будем рассматривать, имеет полный контроль над Wi-Fi точкой доступа и роутером, и не важно, сам ли он поднял эту сеть или захватил контроль над легитимной. Наш хакер не очень технически подкован, но очень упорен и верит в успех! Ведь он начитался множество статей, что небезопасно подключаться к публичному Wi-Fi, и уверен, что сейчас-то он сможет нагуглить множество атак на клиентов его точки доступа! Всё ведь должно быть просто? Да?

И вот наш Вася, ввиду плохо работающего или вовсе не работающего мобильного интернета, подключился к Wi-Fi, на котором ждет своих жертв GarNik.

Как же можно атаковать Васю и его устройство? И можно ли?

❯ Перехват трафика

Трафик Васи под контролем, вот она, победа, да? Увы, нет, почти 100% трафика современного смартфона передается с шифрованием. А значительная часть приложений используют и SSL-pinning, не позволяющий подменять сертификат даже на иной доверенный! Его возможно обойти, но это требует рутовых прав на самом телефоне.

А может, попробовать SSLstrip? Попробуем заставить жертву подключиться к серверу без шифрования?

Это требует следующего:

• Сервер должен позволять работать без шифрования по HTTP.

• Не должно быть SSL-пиннинга, HSTS, HTTPS-only и иных механизмов, умышленно заставляющих включить шифрование.

Почти ни одно приложение подобным критериям не соответствует. А даже если такое приложение найти, то получим данные именно этого приложения, не более.

К тому же злоумышленник должен таргетировать конкретное уязвимое приложение.

Для наиболее результативных атак у злоумышленника все еще должен быть доверенный сертификат!

Да, доверенного сертификата у GarNik нет, а значит, шифрование не вскрыть даже при ошибках приложений. 

Все остальное, что передается незашифрованным — мусор и не позволяет провести атаку на современный смартфон. Можно выяснить обрывки сведений, например: номер телефона, домены, на которые заходят приложения, геолокацию (что в данном случае еще более бесполезно, вот же он сидит под Wi-Fi), какие приложения использует Вася, да и в целом всё. Для Васи это несущественно, как и для большинства других пользователей.

❯ Возможная эксплуатация

Нужен настоящий взлом. Ведь пишут про эксплойты для смартфонов! Точно что-то должно быть под телефон 2020-го года, да?

А вот нет, последняя успешная и публичная цепочка эксплойтов на атаку на чипы Wi-Fi была в 2019 году. Она успешно закрыта обновлениями и была бы эффективна в момент ее публикации и какое-то недолгое время после.

Даже не публичных эксплойтов, подходящих под Wi-Fi атаку с выполнением кода на смартфоне, за последнее время нет. А Васин телефон просто устанавливает обновления сам, вот и вся защита.

А если вспомнить все вот эти крутые 0-day 0/1-click? Такие стоят под современные операционные системы смартфона от полумиллиона до нескольких миллионов долларов, и явно не по бюджету GarNik. Он бы на такие деньги лучше открыл очередной стартап.

Да и такие уязвимости чаще всего не требуют нахождения в одной сети с устройством, если такое есть, то проще, как Pegasus, установить вредонос удаленно.

Фактически ни одного способа выполнить код от имени какого-то приложения Васи и нет, а уж поднять привилегии до рута — задача еще более дорогая! Если бы Вася был дипломат, миллиардер или шпион, то да, деньги бы на это потратили. Но и методы были бы иные :)

❯ Социальная инженерия

Но раз технически всё так плохо, можно воспользоваться социальной инженерией! Показать страничку, где Васю попросят сообщить код от Госуслуг, или скачать и установить APK-файл. Но, кажется, зачем тут Wi-Fi? С таким же успехом можно ссылку/файл прислать куда-либо жертве или позвонить, как мошеннические колл-центры. Wi-Fi-точка гораздо хуже подходит к подобному вектору.

А Васю учили в его компании подозрительно смотреть на предлагаемые к установке файлы, а уж код из СМС от Госуслуг и вовсе поверг бы его в панику и побудил как можно быстрее отключиться от сети. Ведь Вася сто раз уже слышал про колл-центры и про опасность присылаемых кодов.

GarNik сдался, ни один «клиент» его сети не принес ему ничего. А ведь было вложено немало сил! Кстати, каких?

❯ Условия благоприятные для атаки

Чтобы максимизировать успех, злоумышленнику нужно очень многое:

• Поднять точку доступа в популярном месте, однако без иных открытых точек поблизости.

• Держать ее максимально долго и с сильным сигналом.

• Размещать оборудование самостоятельно или с помощью подельника.

• Ловить/провоцировать перебои сотовой сети, ведь чаще всего люди сидят на мобильном интернете.

И даже в таком случае всё, что ему будет доступно в большинстве случаев — социальная инженерия, которую можно было сделать значительно проще и не прибегая к огромному риску для себя. 

Даже минимальный улов не гарантирован, в отличие от случая массового фишинга!

GarNik ушел читать про фишинг, он снова поверил в успех, а о негативном опыте думать не привык, как и учиться на своих ошибках. Думаю, он еще вернется с новым кейсом к нам на разбор.

❯ Реальность

Когда я готовил эту статью, то посетил два хороших мероприятия по кибербезу и спросил у коллег-расследователей, известно ли им о каких-либо живых кейсах взлома устройств через Wi-Fi или о случаях размещения вредоносных Wi-Fi. Все ответили «нет». Злоумышленники, прекрасно понимая риски и невысокие перспективы подобных атак, ими просто не пользуются. 

Гораздо эффективнее и безопаснее для них — протащить в магазин приложений вредоносные приложения или разослать качественный фишинг.

❯ А почему все так говорят

А как так вышло? Кто обманул нашего неудавшегося хакера? Его обманул карго-культ.

С начала 2010-х в кибербезных СМИ стали писать об опасностях публичных Wi-Fi, и до условного 2015–2017 года в этом был смысл. Смартфоны того времени были не настолько security by design, как сейчас. Но главные атаки были на трафик:

• ICQ — основной и открытый мессенджер;

• WhatsApp до 2013 года не имел никакого шифрования;

• VK преимущественно работал на HTTP как минимум до середины 2010-х;

• Об SSL-pinning и вовсе никакие приложения не слышали;

• Изоляция приложений внутри смартфона была значительно хуже;

• Подпись пакетов и исполняемых файлов использовалась в разы реже;

• Из-за повального использования HTTP вместе с HTTPS работал и SSLstrip у множества банков;

• Основные коммуникации были через веб-морды, а не приложения.

И прочее, прочее.

К слову, тогда большинство людей на Wi-Fi садились с ноутбуком! Поэтому пугалки-то были скорее для них.

А почему карго-культ? Каждый год эксперты с умным лицом повторяли тезисы прошлого года, а технологии безопасности шли вперед. В итоге культ остался, а смысл его уже никто и не помнит. Все просто повторяют то, что уже не имеет отношения к реальности, совсем не рефлексируя. А я для вас сделал ревью.

Но значительная часть ИБ-компаний и тех, кто продает трехбуквенные технологии «защиты трафика», продолжают умышленно тиражировать эти пугалки. Просто чтобы наживаться на страхе неопытных пользователей! Например, ваш провайдер видит то же самое, что было рассмотрено в этой статье. Подобные манипуляции от продажников/пиарщиков достойны общественного порицания.

❯ Выводы

Современный обновленный смартфон — крепость, он сам защищает вас от очень многого. Обновляйте его, и покупайте обновляемые модели популярных производителей. 

Атаковать ваш смартфон без вашей ошибки — крайне сложная и невыгодная задача.

Так получилось просто потому, что современные смартфоны разрабатывались уже в эру зрелого подхода к безопасности.

А если вы будете начеку с точки зрения социальной инженерии, то публичные Wi-Fi для вас точно не будут угрозой.)

P.S. К статье точно набегут и те, кто скажут, что потенциальные угрозы есть. Но именно потенциальных угроз много, но многие из них действительно стали пугалками и далеки от реальности, как эта.

Ostara, отдельная благодарность за помощь со статьей!

Новости, обзоры продуктов и конкурсы от команды Timeweb.Cloud — в нашем Telegram-канале ↩

? Читайте также:

• ➤ Я тебя найду и позвоню

• ➤ Знакомство с программным USB на CH32V003

• ➤ Шифрование скриптов

• ➤ Кто ответит за утечку: штрафы, сроки и другие обновления закона о персональных данных

• ➤ «Жаль, что такого уже не будет»: игры эпохи бунтующих подростков и напускного пафоса