Mobilní výrobce Motorola čelí kritice zacházení s citlivými daty. Podle analýzy komunikace telefonů posílá z výroby nainstalovaný Android serverům Motoroly například přihlašovací jméno a heslo na Twitter a Facebook a dokonce od nich umí přijímat i určité příkazy podobné botnetu.

Chyby v softwaru

Ben Lincoln ve svém článku Motorola Is Listening (Motorola naslouchá) shrnuje poznatky z testů provedených na firemním telefonu Motorola Droid X2. Začíná na telefonu se službou Exchange ActiveSync a přesměruje celou komunikaci přes analytickou proxy (BurpSuite Pro, později OWASP ZAP), která mu umožní nahlédnout do komunikace a zobrazit raw data. Do standardní ActiveSync komunikace se však vmísí občas nějaká další data a je zřejmé, že cosi odchází na server pod doménou registrovanou na Motorolu, konkrétně určenou pro službu Blur (svcmot.com).

Zařízení nepotřebuje, aby si uživatel registroval ve službě účet, vystačí si samo s náhodně generovaným uživatelským jménem a heslem, které je pravděpodobně následně spárováno se serverem pro vytvoření komunikačního kanálu.

Z pokusů vyplývá, že telefon kontaktuje svcmot.com pokaždé, když se změní konfigurace profilu ActiveSync, a že komunikace probíhá přes nešifrovaný HTTP. Mimo jiné tak nešifrovaně ochází z telefonu Motorole DNS jméno ActiveSync serveru, e-mail a jméno připojení. Když se ale Ben podíval na komunikaci za delší časový úsek, zjistil, že ze systému neodchází jen Exchange informace, ale také další citlivá data.

Sociální sítě a služby

Ohledně Facebooku a Twitteru - vaše jméno a heslo je odesíláno na server Motoroly a to ve formátu pouhého HTTPS. Přitom obě služby podporují technologii OAuth, která se o přihlášení stará bezpečnějším způsobem. Většina komunikace je však realizována přes nezabezpečený HTTP, takže kdokoliv umístěný mezi telefonem a cílovým serverem může zachytávat vaše statusy, komentáře a jména přátel včetně e-mailových adres.

Podobná situace je i u Photobucket a Picasa - e-mail a heslo jde k Motorole přes HTTPS, ale uživatelské jméno a URL obrázků již cestují přes klasický HTTP. Obrázky se nahrávají většinou včetně EXIF tagů obsahujících geolokaci a další informace. Pokud Android ve výchozím nastavení pojmenovává obrázky podle časového okna pořízení fotografie v řádu milisekund, je pro Motorolu potažmo strážce zákona docela jednoduché následně identifikovat zařízení s uloženým obrázkem jako důkazním materiálem.

E-mailovou adresu dnes již opravdu těžko skryjete, zvlášť když ji Motorola ani v pro komunikaci s Youtube nešifruje, stejně tak jako v případě IMAP/POP3, kde pro útočníka bude ještě čekat sladké překvapení v podobě názvů serverů. A takhle bychom pravděpodobně mohli ve výčtu pokračovat. Kdyby náhodou potřebovala Motorola zajímavý graf na nástěnku, nechává si systémem posílat preventivně jednou za pár minut také seznam widgetů a aplikací na homescreenu.

Check-in data - informace a statistiky použití poletí k Motorole, vypnout se to nedá

V analyzované komunikaci se také objevily kousky tzv. check-in dat, které podobně jako dokumenty pasažéra na letišti obsahují údaje a informace o zařízení. Většinou obsahují data na úrovni vychytávání chyb softwaru, ale přibalují také IMEI telefonu, seznam instalovaných aplikací, číslo telefonu a operátora, statistiky volání a sms, e-mailové adresy a mnohé další informace.

Ovládání ve stylu "botnetu"

Pokročilá analýza odhalila další komunikační kanál přes Jabber/XMPP. Proč by však Motorola potřebovala ještě jednu cestu navíc přes protokol převážně asociovaný s ovládáním botnetů? Chytání takového typu komunikace však není nic jednoduchého, využijete na něj například XMPPPeek (postup zde).

Další průzkum prozradil dokonce pár příkazů, které vzdáleně spustí funkcionality systému, jako je aktualizace statusu sociálních sítí. Systém se hlásí svému "velkému bratru" každých 9 minut, což musí být v kombinaci s ostatními motorolými "fičurami" pro baterii telefonu dost smrtelné.

Jaký může mít důvod přeposílání velké části komunikace systému přes servery Motoroly, když v licenčním ujednání pro Blur se píše, že "MOTOROLA MOBILE SERVICES nikdy nebude sbírat specifický obsah vaší komunikace,"? Přitom vaše statusy a komentáře na Facebook prokazatelně prochází přes jejich servery. Jsou podobní výrobci tak naivní, že předpokládají, že se v dnešní digitální a právní době nebude nikdo šťourat v dodržování licenčních podmínek?

Dnes již nepomůže trochu zaostalá fráze nemám co skrývat, specifická osoba je dohledatelná již za použití malého množství informací, viz Unique in the Crowd: The privacy bounds of human mobility.

Jelikož dostávám otázky ohledně minulého SecUpdate 26 - byl jsem celý minulý týden pracovně mimo ČR a nebylo v mých silách díl vyprodukovat, děkuji za pochopení. Čtete týdenní bezpečnostní bulletin internetového magazínu CDR. Moderní trendy počítačové bezpečnosti a hlídací pes nově objevených kritických chyb ve vašem softwaru na jednom místě. 

To je pro dnešek vše, zůstaňte s námi a za týden nashledanou.

Minulé díly CDR Security Update

• I nevinné online informace mohou útočníka nasměrovat

• Úniky uživatelských dat z českých webů - jaká je praxe?

• Důkazy o špehování uživatelů: Google, Facebook, Apple, Yahoo, Skype...

Díly CDR Security Update SPECIÁL

• Laboratoř hackera - vaše lokální síť nemusí být bezpečná

• Jak se dostat k citlivým datům iPhonu za pár sekund

• Chraňte lépe svůj Google účet pomocí dvouúrovňové autentifikace

Avast! soutěž - třikrát 10 licencí pro vaší firemní síť

Sponzor soutěže se v žádném případě nepodílel na obsahu výše uvedeného textu!

Pokud máte problém se zabezpečením ve vaší firmě nebo nasazujete v poslední době nové stanice, možná pro začátek využijete pár lincencí nejvyšší řady antiviru avast! pro firmy. Ve spolupráci se společností Alwil jsme pro vás připravili soutěž o celkem 30 licencí avast! Endpoint Protection Suite Plus. Stačí odpovědět na otázky níže a příští pondělí držet pěsti. Budeme vybírat celkem 3 výherce, každý si odnese 10 licencí avastu! Všechny odpovědi najdete zde na CDRku, budete muset trochu zabrouzdat naším vyhledáváním nebo alespoň potrápit mozkovny. Hodně štěstí!

• Podmínkou účasti v soutěži je vyplnění kontaktních údajů, přes které se s vámi spojíme v případě výhry a domluvíme způsob doručení
• Soutěž se koná od 8. 7. - 14. 7. 2013
• Soutěže se mohou účastnit pouze uživatelé s trvalým bydlištěm v České republice a na Slovensku
• Soutěže se nemohou zúčastnit zaměstnanci společnosti, která do soutěže cenu dodává ani jejich příbuzní
• Výherci se vybírají losováním
• Ceny budou výhercům zaslány nebo k vyzvednutí v redakci dle domluvy
• Do závěrečného slosování soutěže budou zařazeni jen ti soutěžící, kteří správně zodpoví soutěžní otázky
• Již jednou odeslanou odpověď na soutěž či soutěžní anketu nelze zpětně opravit
• V případě, že kontaktní údaje nebudou pravdivé či výherce nesplní podmínky soutěže, bude vybrán jiný výherce
• Pokud výherce výhru do 14 dnů od prvního zaslání e-mailu nepotvrdí a nezašle povinné korespondenční údaje k zaslání, bude vylosován náhradník. Pakliže ani náhradník nebude reagovat na výhru do 14 dnů, pak cena propadá ve prospěch organizátora
• Pořadatel (redakce CDR.cz) má konečné slovo v rozhodování o platnosti profilů a výhercích soutěže, proti tomuto není odvolání

Sponzorováno:

Hlasování bylo ukončeno!