Спецпроекты

Можно ли «хакнуть» WAP?

Телеком Интернет Безопасность Бизнес Интеграция Бизнес-приложения Веб-сервисы

WAP-технология с каждым днем получает все большее распространение в сетях сотовой связи: как грибы после дождя появляются новые WAP-сайты, в том числе и российские, быстро растет число абонентов, купивших сотовые телефоны с поддержкой WAP (а сами WAP-телефоны дешевеют и становятся доступны рядовым потребителям). Операторы снижают тарифы на услуги передачи данных и вводят в эксплуатацию различные информационно-финансовые WAP-услуги, в том и числе и системы мобильной коммерции (m-commerce). Пользование мобильным телефоном, подерживающим WAP, становится признаком следящего за модой, технологически продвинутого человека. Однако всякая новая технология, как и всякое усложение, несет в себе новые опасности. Чем больше сотовый телефон становится похож на мини-компьютер, тем больше опасений у пользователей вызывает возможность доступа к их конфиденциальной информации посторонних лиц, а также угроза стать жертвой WAP-хакеров. Как в любой другой системе электронных платежей и обмена конфиденциальной информацией, вопрос безопасности транзакций – ключевое звено всей системы.

Система мобильного интернета состоит из двух транспортных частей передачи информации – радиоканала сотовой связи и самой инфраструктуры интернета. В сетях GSM используются средства защиты протокола WAP, а в интернете - протокола TCP/IP. Протокол Wireless Transport Layer Security (WTLS), входящий в спецификацию WAP, обеспечивает защиту при передаче данных на пути от WAP-теминала абонента до WAP-шлюза. При передаче данных на требуемый ресурс в Сети они защищаются протоколом Secure Sockets Layer (SSL) со специальным 128-битным ключом шифрования. К сожалению, в этой на первой взгляд неплохо защищенной системе присутствует недоработка в точке сопряжения мобильной инфраструктуры и интернета. При перекодировке данных они остаются на какое-то время абсолютно незащищенными. Преобразования WTLS - SSL- WTLS осуществляются на WAP-шлюзе, и как раз в это время данные остаются незашифрованными и потенциально уязвимыми. Фактически это означает возможность постороннего вмешательства в передаваемую и принимаемую информацию, будь то e-mail, секретный пароль или обычные wml-страницы.

При осуществлении покупок и платежей с помощью WAP-терминала пользователей пугает вероятность того, что с их счета продавец может снять большую сумму, нежели требуется для оплаты товара, как случается иногда при оплате кредитными картами. В большинстве случаев такой опасности не существует, так как структура системы электронных платежей спроектирована таким образом, что продавец получает лишь подтверждение об оплате товара требуемой суммой, а сам непосредственно деньги со счета клиента не снимает.

Некоторых пользователей услуг мобильного интернета интересует также вопрос защиты сотовых телефонов от вирусов, которыми можно «заразиться», находясь в онлайне (по аналогии с обычными компьютерами, подключенными к Сети). “Чем больше мобильный телефон будет становиться похож на компьютер, тем ужаснее будут вирусы для него”,-заявил руководитель отделения корпорации IBM WATSON RESEARCH CENTRE.

Первый в мире вирус, затронувший владельцев мобильных телефонов, появился в Испании. От злоумышленников пострадали абоненты испанского сотового оператора MOVISTAR. Вирус, который его создатель назвал “TIMOFONICA”, забрасывает жертву ненужными SMS-сообщениями. Программа относится к классу “червей”. Она, как и печально известная “I LOVE YOU”, написана на языке VB SCRIPT. Впрочем, это был не какой-то «сотовый чудо-вирус», а обыкновенный компьютерный вирус, рассылающий из интернета через SMS-шлюз сообщения по сгенерированным номерам. Однако, в принципе, появление специальных «сотовых вирусов» - уже реальность, так что надо посещать только те WAP-ресурсы, которым Вы доверяете.

Возможность создания вирусов для мобильных телефонах основывается на том, что в них существует некоторое подобие операционной системы, которая с каждой новой моделью телефона все совершенствуется и усложняется.

Впрочем, сотовые вирусы пока не способны испортить информацию на sim-карте абонента, т.к. информация на ней защищена, как и на любой другой современной smart-карте. Не секрет, что существует огромное количество различных моделей мобильных телефонов, и все они имеют различное программное обеспечение. Таким образом, проявление какого-либо универсального мобильного вируса практически невозможно. Некоторые разработчики “антивирусников” для ПК всерьез заинтересовались созданием антивирусного пакета для мобильных телефонов. “Такие понятия как функциональность и безопасность сегодня несовместимы. Как только телефон стал больше, чем просто трубкой с микрофоном и динамиком, стало неизбежным создание вируса для него”,- считает президент компании Symantec Research Centre Эрик Чиен. Разработку антивируса для приборов, поддерживающих WAP, проанонсировала и российская антивирусная "Лаборатория Касперского". Михаил Калиниченко, технический директор “Лаборатории Касперского”, рассказал в интервью Cnews, что уже сейчас определенные форматы SMS-сообщений способны «подвешивать» любой GSM-телефон. По мере интеграции сотовых телефонов и PDA (цифровых органайзеров) опасность будет возрастать. “Модификация выполняемого кода – например, вредоносными программами, - возможна там, где есть загружаемый софт, в современных же аппаратах он «прошит» в железе» - говорит г-н Калиниченко, - как только технология продвинется в достаточной степени, возникновение вирусов станет возможным, и произойти это может уже через год» . Устанавливать созданные в будущем сотовые антивирусные пакеты будут на своих серверах сотовые операторы, и, таким образом, конечных пользоваетелей телефонов эта проблема беспокоить не будет.

Предполагается, что в дальнейшем уровень безопасности WAP существенно повысится с введением системы так называемых WIM-модулей (Wireless Identity Module), которые гарантируют защиту сеансов интернет-транзакций при помощи специального шифрования и систем “цифровой подписи” для авторизации онлайновых операций данного мобильного пользователя. Также станет возможным использование многозадачных логических каналов, позволяющих пользователю переходить с одного приложения на другое, не теряя при этом связи с предыдущим. К сожалению, подобные функции станут возможны только в версиях WAP-протокола 1.2 и 2.0, а в настоящее время повсеместно используется версия 1.1. Так что будьте бдительны, владельцы WAP-аппаратов...

Тема месяца

Обзор: Облачные сервисы 2019

Рейтинги CNews

Крупнейшие поставщики услуг IaaS и SaaS

Технология месяца

Можно ли защититься от 90% кибератак одним решением