Проект Мобильный Офис Проект Мобильный Офис

на главную

ТехподдержкаОбзоры

Техподдержка:

Стандарты и технологии

Статьи

Обзоры

Глоссарий

Драйверы

Ссылки





Можно ли «хакнуть» WAP?

WAP-технология с каждым днем получает все большее распространение в сетях сотовой связи: как грибы после дождя появляются новые WAP-сайты, быстро растет число абонентов, купивших сотовые телефоны с поддержкой WAP (а сами WAP-телефоны дешевеют и становятся доступны рядовым потребителям).

Операторы снижают тарифы на услуги передачи данных и вводят в эксплуатацию различные информационно-финансовые WAP-услуги, в том и числе и системы мобильной коммерции (m-commerce). Пользование мобильным телефоном, поддерживающим WAP, становится признаком следящего за модой, технологически продвинутого человека. Однако всякая новая технология, как и всякое усложнение, несет в себе новые опасности. Чем больше сотовый телефон становится похож на мини-компьютер, тем больше опасений у пользователей вызывает возможность доступа к их конфиденциальной информации посторонних лиц, а также угроза стать жертвой WAP-хакеров. Как в любой другой системе электронных платежей и обмена конфиденциальной информацией, вопрос безопасности транзакций - ключевое звено всей системы.

Система мобильного Интернета состоит из двух транспортных частей передачи информации - радиоканала сотовой связи и самой инфраструктуры Интернета. В сетях GSM используются средства защиты протокола WAP, а в Интернете - протокола TCP/IP. Протокол Wireless Transport Layer Security (WTLS), входящий в спецификацию WAP, обеспечивает защиту при передаче данных на пути от WAP-теминала абонента до WAP-шлюза. При передаче данных на требуемый ресурс в Сети они защищаются протоколом Secure Sockets Layer (SSL) со специальным 128-битным ключом шифрования. К сожалению, в этой на первой взгляд неплохо защищенной системе присутствует недоработка в точке сопряжения мобильной инфраструктуры и Интернета. При перекодировке данных они остаются на какое-то время абсолютно незащищенными. Преобразования WTLS - SSL - WTLS осуществляются на WAP-шлюзе, и как раз в это время данные остаются незашифрованными и потенциально уязвимыми. Фактически это означает возможность постороннего вмешательства в передаваемую и принимаемую информацию, будь то e-mail, секретный пароль или обычные wml-страницы.

При осуществлении покупок и платежей с помощью WAP-терминала пользователей пугает вероятность того, что с их счета продавец может снять большую сумму, нежели требуется для оплаты товара, как случается иногда при оплате кредитными картами. В большинстве случаев такой опасности не существует, так как структура системы электронных платежей спроектирована таким образом, что продавец получает лишь подтверждение об оплате товара требуемой суммой, а сам непосредственно деньги со счета клиента не снимает.

Некоторых пользователей услуг мобильного Интернета интересует также вопрос защиты сотовых телефонов от вирусов, которыми можно "заразиться", находясь в онлайне (по аналогии с обычными компьютерами, подключенными к Сети). "Чем больше мобильный телефон будет становиться похож на компьютер, тем ужаснее будут вирусы для него", - заявил руководитель отделения корпорации IBM WATSON RESEARCH CENTRE.

Первый в мире вирус, затронувший владельцев мобильных телефонов, появился в Испании. От злоумышленников пострадали абоненты испанского сотового оператора MOVISTAR. Вирус, который его создатель назвал "TIMOFONICA", забрасывает жертву ненужными SMS-сообщениями. Программа относится к классу "червей". Она, как и печально известная "I LOVE YOU", написана на языке VB SCRIPT. Впрочем, это был не какой-то "сотовый чудо-вирус", а обыкновенный компьютерный вирус, рассылающий из Интернета через SMS-шлюз сообщения по сгенерированным номерам. Однако, в принципе, появление специальных "сотовых вирусов" - уже реальность и уже есть первые жертвы. Речь идет об абонентах японской NTT DoCoMo, использующих мобильные телефоны с поддержкой i-mode: 11 августа сего года, во время онлайнового опроса об отношениях, ответ "да" на некоторые вопросы сопровождался немедленным звонком в полицию по номеру 110. Естественно, вызов полицейского номера осуществлялся без участия владельца телефона; всего было зарегистрировано около 400 таких звонков. Как выяснилось, в Интернет-опросе, созданном специально для аппаратов с i-mode, была скрыта соответствующая "троянская" функция. Виноватых не нашли…

Возможность создания вирусов для мобильных телефонов основывается на том, что в них существует некоторое подобие операционной системы, которая с каждой новой моделью телефона все совершенствуется и усложняется.

Впрочем, сотовые вирусы пока не способны испортить информацию на sim-карте абонента, т.к. информация на ней защищена, как и на любой другой современной smart-карте. Не секрет, что существует огромное количество различных моделей мобильных телефонов, и все они имеют различное программное обеспечение. Таким образом, проявление какого-либо универсального мобильного вируса практически невозможно. Некоторые разработчики "антивирусников" для ПК всерьез заинтересовались созданием антивирусного пакета для мобильных телефонов. "Такие понятия как функциональность и безопасность сегодня несовместимы. Как только телефон стал больше, чем просто трубкой с микрофоном и динамиком, стало неизбежным создание вируса для него", - считает президент компании Symantec Research Centre Эрик Чиен. Разработку антивируса для приборов, поддерживающих WAP, проанонсировала и российская антивирусная "Лаборатория Касперского". Михаил Калиниченко, технический директор "Лаборатории Касперского", рассказал, что уже сейчас определенные форматы SMS-сообщений способны "подвешивать" любой GSM-телефон. По мере интеграции сотовых телефонов и PDA (цифровых органайзеров) опасность будет возрастать. "Модификация выполняемого кода - например, вредоносными программами, - возможна там, где есть загружаемый софт, в современных же аппаратах он "прошит" в железе" - говорит г-н Калиниченко, - как только технология продвинется в достаточной степени, возникновение вирусов станет возможным, и произойти это может уже через год". Устанавливать созданные в будущем сотовые антивирусные пакеты будут на своих серверах сотовые операторы, и, таким образом, конечных пользователей телефонов эта проблема беспокоить не будет.

Предполагается, что в дальнейшем уровень безопасности WAP существенно повысится с введением системы так называемых WIM-модулей (Wireless Identity Module), которые гарантируют защиту сеансов Интернет-транзакций при помощи специального шифрования и систем "цифровой подписи" для авторизации онлайновых операций данного мобильного пользователя. Также станет возможным использование многозадачных логических каналов, позволяющих пользователю переходить с одного приложения на другое, не теряя при этом связи с предыдущим. К сожалению, подобные функции станут возможны только в версиях WAP-протокола 1.2 и 2.0, а в настоящее время повсеместно используется версия 1.1. Так что будьте бдительны, владельцы WAP-аппаратов...

© CNews.ru

Опубликовано 29 августа 2000 г.


«««