Na última edição da conferência Usenix Workshop on Offensive Technologies (realizada entre os dias 14 e 15 de agosto no Canadá) os pesquisadores Omer Shwartz, Amir Cohen, Asaf Shabtai e Yossi Oren da Universidade Ben-Gurion (Israel) apresentaram uma série de ataques conceituais envolvendo peças de reposição para dispositivos móveis.
Na apresentação, os pesquisadores usaram dois modelos de dispositivos Android — um smartphone Nexus 6P, fabricado pela Huawei e um tablet LG G Pad 7.0. Ambos tiveram suas telas substituídas por peças modificadas, impossíveis de distinguir de uma peça legítima, contendo chips que dariam a um suposto atacante a possibilidade de guardar e transmitir padrões de desbloqueio do dispositivo, tirar fotos do usuário, substituir URLs legítimas por URLs contendo phishing e explorar remotamente vulnerabilidades presentes no sistema operacional.
O trabalho é descrito no artigo “Shattered Trust: When Replacement Smartphone Components Attacks” que classifica os ataques como fruto de uma “quebra de confiança” entre empresas terceirizadas que produzem componentes — dentre os quais as telas, sensores de orientação, chips NFC, etc — e as fabricantes dos dispositivos. “Drivers desses componentes são integrados ao código fonte da fabricante (…) que assume que se trata de um hardware autêntico e confiável (…). Dessa forma, poucos testes de integridade são realizados nas comunicações entre os componentes e o processador principal do dispositivo”.
São detalhados dois ataques iniciais realizados após a troca de um módulo touchscreen original por uma versão maliciosa: o touch injection — que permite interceptar, gravar e injetar comandos de toque no dispositivo — e o buffer overflow — que pode permitir a execução arbitrária de código; combinados, esses ataques poderiam levar ao “comprometimento de dispositivos que rodam Android ‘puro’” — ou versões do Android sem alterações na interface ou adição de aplicativos desenvolvidos pela fabricante do aparelho ou da operadora de celular.
Um atacante poderia, por exemplo, personificar o usuário, desbloqueando o aparelho com a tela desligada, baixar e instalar aplicativos sem o conhecimento do proprietário do dispositivo e, posteriormente, usar código malicioso para abusar de vulnerabilidades e tomar o controle do dispositivo.
Impacto do estudo
Segundo levantamento da empresa britânica We Are Social, atualmente mais da metade da população mundial usa um smartphone. Outra pesquisa, da empresa App Annie, mostra que no Reino Unido, usuários destes dispositivos passam, em média, duas horas por dia usando aplicativos, o que equivale a um mês por ano (no Brasil são três horas diárias).
Obviamente, esse uso constante traz acidentes. Em 2015 a Motorola realizou um levantamento global mostrando que mais de 50% dos usuários de smartphones haviam danificado as telas dos seus dispositivos (no Brasil, o percentual era de 50%, no Reino Unido, 38%). Os danos alimentam uma indústria crescente: nos EUA, em 2016, estimava-se que o mercado de reparos de smartphones gerava US$ 4 bi em receita, com crescimento médio de 3% entre os anos de 2011 e 2016.
Acontece que os altos custos de peças e serviços em assistências autorizadas podem levar usuários a buscar preços mais competitivos — o que fatalmente os levará a encontrar peças e/ou serviços genéricos que podem ser menos confiáveis. No Reino Unido, a rede autorizada da Apple chega a cobrar mais de £150 pela troca de uma tela nos seus modelos mais caros, enquanto empresas de “reparos rápidos” cobram menos de um terço desse valor.
Aliados, esses fatores podem tornar os ataques demonstrados pelos pesquisadores bastante atrativos.
A Universidade Ben-Gurion divulgou uma série de vídeos mostrando as possibilidades de ataque trazidas pela técnica. No vídeo abaixo, os pesquisadores mostram como é possível tirar fotos e enviá-las por e-mail