3G dan 4G modem USB adalah ancaman keamanan, kata peneliti

Sebagian besar modem USB 3G dan 4G yang diberikan oleh operator seluler kepada pelanggan mereka diproduksi oleh segelintir orang. perusahaan dan menjalankan perangkat lunak tidak aman, menurut dua peneliti keamanan dari Rusia.

Peneliti Nikita Tarakanov dan Oleg Kupreev menganalisis keamanan modem USB 3G / 4G yang diperoleh dari operator Rusia selama beberapa bulan terakhir. Temuan mereka dipresentasikan Kamis pada konferensi keamanan Black Hat Europe 2013 di Amsterdam.

Kebanyakan modem 3G / 4G yang digunakan di Rusia, Eropa, dan mungkin di tempat lain di dunia, dibuat oleh pabrikan perangkat keras China Huawei dan ZTE, dan diberi merek dengan logo dan merek dagang operator seluler, kata Tarakanov. Karena itu, bahkan jika penelitian dilakukan terutama pada modem Huawei dari operator Rusia, hasilnya harus relevan di belahan dunia lain juga, katanya.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Tarakanov mengatakan bahwa mereka tidak dapat menguji serangan baseband terhadap chip Qualcomm yang ditemukan di dalam modem karena ilegal di Rusia untuk mengoperasikan stasiun pangkalan GSM Anda sendiri jika Anda bukan agen intelijen atau operator telekomunikasi. "Kita mungkin harus pindah ke negara lain selama beberapa bulan untuk melakukannya," katanya.

Masih banyak yang harus diselidiki dalam hal keamanan perangkat keras. Sebagai contoh, SoC (sistem pada chip) yang digunakan dalam banyak modem memiliki kemampuan Bluetooth yang dinonaktifkan dari firmware, tetapi dimungkinkan untuk mengaktifkannya, kata peneliti.

Untuk saat ini, para peneliti menguji perangkat lunak yang dimuat pada modem dan menemukan beberapa cara untuk menyerang atau menggunakannya dalam serangan.

Untuk satu, mudah untuk membuat gambar dari sistem file modem USB, memodifikasinya dan menulisnya di modem lagi. Ada alat yang tersedia dari Huawei untuk melakukan backup dan restore modem, tetapi ada juga alat gratis yang mendukung modem dari produsen lain, kata Tarakanov.

Malware yang berjalan di komputer dapat mendeteksi model dan versi modem 3G aktif dan dapat menulis gambar dengan kustomisasi berbahaya untuk itu menggunakan alat tersebut. Modem itu kemudian akan mengkompromikan komputer mana pun yang digunakan.

Modem berisi penginstal untuk aplikasi yang diinstal di komputer, serta driver yang diperlukan untuk OS yang berbeda. Aplikasi ini memungkinkan pengguna untuk menghentikan, memulai dan mengelola koneksi Internet yang dibuat melalui modem.

File konfigurasi untuk aplikasi yang diinstal, serta aplikasi penginstal aplikasi yang disimpan di modem, dalam teks biasa dan dapat mudah dimodifikasi. Satu pengaturan dalam file konfigurasi mendefinisikan apa yang harus digunakan oleh server DNS untuk koneksi Internet.

Seorang penyerang dapat mengubah entri tersebut ke server yang dikendalikan oleh penyerang, kata Tarakanov. Ini akan memberikan kemampuan kepada penyerang untuk mengarahkan pengguna ke situs web palsu ketika mereka mencoba mengunjungi pengguna yang sah menggunakan koneksi modem.

Meskipun penginstal aplikasi itu sendiri tidak dapat dimodifikasi secara langsung untuk memuat malware karena itu adalah eksekusi yang ditandatangani, ada beberapa entri dalam file konfigurasinya yang dapat digunakan untuk tujuan ini.

Sebagai contoh, banyak file konfigurasi memiliki jalur ke installer antivirus dan pilihan apakah akan menginstal program-program itu atau tidak, kata Tarakanov. Peneliti mengatakan bahwa dia tidak pernah menemukan installer antivirus yang dikirimkan dengan modem USB yang dia uji, tetapi fitur itu ada di sana.

Penyerang dapat membuat gambar kustom dengan file konfigurasi yang dimodifikasi yang memungkinkan fitur ini dan menginstal file jahat yang disimpan di modem bukan program antivirus. Jika gambar tersebut ditulis pada modem USB, setiap kali pengguna menginstal aplikasi modem, malware juga akan diinstal, kata Tarakanov.

Para peneliti juga menemukan kemungkinan vektor serangan massal. Setelah diinstal pada komputer, aplikasi modem-setidaknya satu dari Huawei-cek secara berkala untuk pembaruan dari server tunggal, kata Tarakanov. Perangkat lunak bermerek untuk pencari operator khusus untuk pembaruan di direktori server khusus untuk operator itu.

Seorang penyerang yang mengelola kompromi server pembaruan ini, dapat meluncurkan serangan massal terhadap pengguna dari banyak operator, kata Tarakanov. Modem Huawei 3G dari beberapa operator Rusia yang berbeda menggunakan server yang sama, tetapi mungkin ada server pembaruan lain untuk negara lain, katanya.

Tarakanov mengatakan bahwa dia tidak mencari kerentanan pada driver modem yang sebenarnya terpasang di OS, tetapi ia mengharapkan mereka memiliki kerentanan. Sebagian besar dari driver pihak ketiga pada umumnya memiliki kerentanan, katanya.

Tarakanov mengkhususkan diri dalam memanfaatkan penulisan dan menemukan kerentanan pada driver mode kernel Windows. Namun, Oleg Kupreev adalah pemimpin untuk proyek penelitian khusus ini mengenai modem 3G / 4G.

Penelitian di bidang ini hanya di awal dan masih ada lagi untuk diselidiki, kata Tarakanov. Seseorang harus melakukannya karena banyak laptop baru yang dilengkapi dengan modem 3G / 4G yang langsung dibangun dan orang-orang harus tahu jika mereka adalah ancaman keamanan.