סקירת אפלקציות בנוקיה
מאת iTK98 בתאריך 12/10/12, תחת כללי
טלפונים ניידים הפכו לשער שלנו אל העולם החברתי (רשתות חברתיות) ורשת האינטרנט, אין מכשיר טלפון נייד חכם שאין לו אפלקציה חברתית כלשהי מותקנת בו או גישה לאחסון בענן. ברשותי טלפון של חברת נוקיה מסוג Nokia 500, ויש לי עליו מספר אפלקציות שאני רוצה לבחון,
- 'רשתות חברתיות', גירסה 1.5.216, Nokia.
- LinkedIn, גירסה 2.0.1063, Nokia.
- cuteBox, גירסה 1.02, Genera Software.
- YouTube, גירסה 2.4.10, Google.
הבדיקה תעשה על-ידי חיבור הטלפון הנייד לרשת Wifi מקומית וביצוע ARP poisoning, האזנה תהיה פאסיבית בלבד (מלבד הזיהום, אני לא אפעיל מתקפות MITM כנגד התעודות). התוכנות בהן אעשה שימוש הן Ettercap בכדי לזהם את טבלת ה-ARP ו-Wireshark בכדי לקבל ויזואליזציה של התעבורה.
# ettercap -T -M arp:remote /192.168.0.1/ // # wireshark
'רשתות חברתיות' של נוקיה תומכת ב-API של Facebook ו-Twitter, אפשר למשוך עידכונים מכל רשת חברתית בנפרד או משניהם יחדיו תחת אותו מסך. האפלקציה תומכת App Password של Facebook מה שמאפשר לנו להגן על הסיסמה המקורית שלנו בפייסבוק.
החיבור שמתבצע על-ידי 'רשתות חברתיות' מוצפן בכל שלב, אך מצאתי פרט מאוד מסקרן, התקשורת של האפלקציה לא נעשת ישירות עם השרתים של Facebook או Twitter, אלא ניגשת לשרתים של נוקיה static-*.atl.nokia.net ומתקשרת איתם, צריך לזכור שבכדי להפעיל את האפלקציה צריך חשבון OVI, לכן ניתן לומר בוודאות כמעט מלאה שנוקיה אוספת מידע מהחשבון פייסבוק שלך ומוסיפו אותו לחשבון OVI שלך*.
התוכנה הבאה שבדקתי הייתה LinkedIn, גם כן מבית נוקיה. הכניסה (Signup, החלפת פרטי ההתחברות) מתבצעת מעל חיבור מוצפן, אך כאן נגמרת ההצפנה. לאחר מכן יש שימוש ב-OAuth בכדי למשוך מידע מעל חיבור שאינו מוצפן, יש שימוש ב-OAuth 1.0 שניזנח בחודש אפריל האחרון. המפתח הפרטי (consumer_secret) מוחלף מעל חיבור מוצפן, אז אין לנו את האפשרות ליצור קישורים חדשים, אך אורך החיים של של קישור שנתפס הוא כ-15 דקות, מספיק זמן בשבילנו לאסוף את המידע.
התוכנה השלישית שבדקתי הייתה cuteBox, תוכנה המאפשרת לגשת לחשבון DropBox שלכם. החיבור לאורך כל דרכו מוצפן, הרשמה\כניסה וכן צפיה בקבצים והורדה שלהם, כל הפעולות נעשות מעל חיבור מוצפן.
התוכנה האחרונה שבחנתי הייתה YouTube מבית גוגל, ההזדהות נעשת מעל חיבור מוצפן, אך לאחר מכן התקשורת נעשת מעל חיבור שאינו מוצפן והוא מוגן על-ידי ה-API ClientLogin של גוגל (מנגנון דומה ל-OAuth). גם במקרה הזה זמין לנו אך ורק המפתח הפומבי, לכן המקרה דומה למקרה עם האפלקציה של LinkedIn.
לסיכם, ממה שראינו בסקירה של 4 אפלקציות שהפרטי הזדהות שלנו (שם משתמש וסיסמה) מוגנים, הם תמיד נשלחו מעל חיבור מוצפן. אך לעומת זאת, המידע לאחר מכן מועבר מעל חיבור שאינו מוצפן וניתן לצפות בו כאשר מתקיימת האזנה על החיבור, לכן מומלץ להימנע מהתחברות לרשתות אלחוטיות פומביות עם הטלפון הנייד, שכן ניתן לצפות בחומר שאתם מעבירים.
- ייתכן ויש שימוש ב"פרוקסי" בכדי לחסוך מהצורך בעיבוד (render) על המכשיר, הפרוקסי של נוקיה מוריד את המידע החי (raw data), מעבד אותו, ושולח את התוצר המעובד למכשיר לטעינה קלה יותר. ייתכן שעל הדרך נוקיה מבצעת קציר מידע.
27/10/12 בשעה 21:51
יותר מעניין לראות איך האפליקציות מתעדכנות (אם בכלל) ואם אפשר לדחוף עדכון משלך באמצעות זיהום..
סתם רעיון למקרה שיהיה לך זמן 🙂
28/10/12 בשעה 6:12
מה שאני אומר נכון רק לגבי סמביאן, רוב הסיכויים שגם מערכות הפעלה אחרות לטלפונים אחרים עובדות ככה, אבל אין לי מושג וודאי.
גם אם יהיה ניתן לדחוף עדכון זדוני (זה יהיה אפשרי אך ורק אם התקשורת בין האפלקציה לבין שרת העדכון אינה מוצפנת ואנחנו מסוגלים לתפוס מאיפה האפלקציה מבקשת להוריד את העדכון), עדיין, עם כל זאת, יהיה צורך להחתים את ההתקנה עם תעודה מאושרת, טלפונים לא פרוצים לא יתנו להתקין כלל וטלפונים פרוצים יציגו אזהרה.
אגב, לפני מספר ימים פורסמה כתבה על אלפקציות באנדרויד שלא מבצעות אישוש נאות של תעודות ויש אפשרות להזריק תעודות חתומות עצמאית ובכך לראות את המידע שהן מעבירות, לעוד מידע:
http://www2.dcsec.uni-hannover.de/files/android/p50-fahl.pdf
רק רוצה להוסיף בכך, שגם אם יש שימוש בהצפנה, ניתן עדיין לנסות להפעיל MITM נגד התעודה.
18/08/16 בשעה 16:07
למדתי הרבה תודה רבהעל השיתוף תמשיך כך מבטיח לעקוב.