Мобильные киоски — это аппараты, оборудованные интерактивным экраном для предоставления пользователям мультимедийных приложений и услуг. В качестве примеров подобных услуг можно привести продажи мелодий для мобильных телефонов, картинок и предоставление автоматических настроек. Кроме того, подобные киоски крайне популярны для печати фотографий с мобильного телефона. Они позволяют передать по Bluetooth фотографии для мгновенной печати. Большинство мобильных киосков используют именно технологию Bluetooth для передачи данных пользователю, ведь почти каждый телефон оснащен Bluetooth-передатчиком.
Один из сценариев атаки на пользователя во время взаимодействия с мобильным киоском может быть следующий. Пользователь пытается в стоящем на автозаправочной станции мобильном киоске оплатить покупку в китайском интернет магазине или заказать, оплатить, а потом скачать мелодию для мобильного телефона. И если оплаченный товар, доставит http://meest.cn, то скачивать данные пользователь должен по Bluetooth. После оплаты мелодии пользователь ждет соединения с мобильным киоском. Злоумышленник в этот момент может находиться рядом и первым обратиться к пользователю под видом мобильного киоска.
Пользователь, обратившись к такому псевдо-киоску, будет атакован и ему будет передан вирус или похищена ценная информация.
Признаки атаки
- «странное» имя для мобильного киоска;
- «странное» расширение файла, отличающееся от расширения заказанного вами контента;
- быстрый ответ от мобильного киоска, возможно даже до оформления заказа.
Подобная атака на мобильные телефоны в настоящее время не является самой распространенной, но в ближайшие годы следует ожидать волну атак с использованием уязвимостей, набирающих популярность «мобильных киосков».
Владельцы сотовых телефонов присваивают им имена для работы в сети Bluetooth. Мобильные аппараты при работе по Bluetooth отображают списки имен таких обнаруженных устройств. Имена устройств могут повторяться, а в таком случае будет затруднена их идентификация.
Мобильные киоски также идентифицируются по именам, которые абонент мобильной связи знать не может.
Этим может воспользоваться злоумышленник, дав своему компьютеру имя, например, «mobile-kiosk». В связи с этим, пользователь может только подойти к киоску и еще даже ничего не оплатить, а на его телефон уже «постучится» мобильный киоск. Таким образом, злоумышленник может осуществить подмену доверенного устройства со всеми вытекающими последствиями: прослушиванием трафика, получением полного доступа к ресурсам абонента, внедрением вируса или программы-шпиона на телефон.
Создание мобильного псевдокиоска осуществляется соответствующими настройками атакующей аппаратуры. Большинство устройств Bluetooth имеют опцию назначения произвольного имени. Поэтому злоумышленник, узнав настоящее имя мобильного киоска, может использовать его в своих целях.
ЗАЩИТА ОТ АТАКИ
Чтобы защититься от подобной атаки, необходимо быть крайне внимательным при обращении к мало знакомым Bluetooth-устройствам.
Даже если перед вами мобильный киоск уважаемой компании, то вполне вероятно, что именно этой популярностью желает воспользоваться злоумышленник, установив свою Bluetooth-антенну в непосредственной близости с киоском и осуществляя непрерывные попытки атаковать доверчивых клиентов.