هیچ گوشی هوشمند امنی وجود ندارد!
کد خبر :38626
این یک واقعیت ساده است که اغلب موارد به طرز قابل توجهی نادیده گرفته میشود.
آی تی اس ان (پایگاه خبری امنیت فناوری اطلاعات) ، گوشیهای هوشمند جدید یک تراشهی پردازنده و یک تراشهی باند پایه دارند که اتصالات شبکههای رادیویی (GSM/UMTS/LTE/etc) را کنترل میکنند. این تراشه از طریق یک DMA به سیپییو متصل میشود. بنابراین تا وقتی که از یک IOMMU استفاده نشود، باند پایه دسترسی کاملی به حافظهی اصلی داشته و میتواند به دلخواه خود آن را در معرض خطر قرار دهد.
میتوان با اطمینان گفت که این باند پایه به شدت ناامن است. این باند یک منبع بسته است و شاید اصلاً بررسی هم نشود. درک ما این است که پیدایش سفتافزارهای باند پایهی جدید تلاشی برای توسعهی باند پایهی GSM بوده که شروع آن به دههی ۱۹۹۰ برمیگردد و آن زمانی بود که اهمیت شیوههای توسعهی نرمافزار به شکل امن چندان آشکار نبود. به عبارت دیگر، درک ما بر پایهی تحقیقاتی که انجام دادهایم این است که این سامانه به شدت گرایش دارد که ناامن باشد و به احتمال زیاد در برابر اجرای کدهای متعدد از راه دور آسیبپذیر است.
بنابراین هیچ گوشی هوشمندی نمیتواند در برابر دشمنی که قادر است تا ارتباطهای رادیویی دستگاه (UM) را در معرض تهدید قرار دهد امن باشد. این موضوع شامل هر کسی که بتواند به استقرار دستگاههای گمراهکننده بپردازد و یا هر کسی که بتواند به کنترل ایستگاه پایهی آن بپردازد میشود، چه این شخص یک نفوذگر قانونی یا غیرقانونی و هر چیز دیگری باشد.
از نظر ما این کار احمقانهای نیست که فرض کنیم تعدادی از دولتها (یا پیمانکاران آنها) کدهایی برای سوءاستفاده از این قابلیتهای باندهای پایهی از راه دور آماده کرده باشند.
تا زمانی که باند پایه مورد بررسی کامل قرار نگرفته است و گوشیهای هوشمند از IOMMUs برخوردار نیستند، و سامانههای عامل آنها به گونهای پیکربندی نشدهاند که حجم تهدیدات را کاهش دهند، هیچ گوشی هوشمندی وجود ندارد که بتوان به آن برای محرمانه بودن و پردازش مطمئن اطلاعات اعتماد کرد.
مسأله این است که درخواست برای گوشیهای امن و ارتباطات امن در چنین شرایطی بسیار عجیب و غریب است.
بنابراین تنها دو راه برای امن کردن گوشیهای تلفن همراه وجود دارد: بررسی باند پایه و یا استفاده از یک IOMMU (واحد مدیریت حافظهی ورودی/خروجی). در حالیکه هنوز امنیت سختافزارهای گوشیهای هوشمند تضمین نشدهاند، نمیتوان حتی در مورد امنیت نرمافزارهای آنها گفتوگو کرد.
devever/asis.io
تاریخ و زمان انتشار : سه شنبه ۲۹ دی ۱۳۹۴ در ساعت ۱۵:۳۸:۳۵
بدون نظرانتهای خبر
- - , .
آی تی رسا ن ایران...
ما را در سایت آی تی رسا ن ایران دنبال می کنید
برچسب : نویسنده : محمد رضا جوادیان itrasan بازدید : 132 تاريخ : سه شنبه 29 دی 1394 ساعت: 20:34