A digitális apróság biztonságával kapcsolatos szakmai aggodalmak úgy tûnik nem voltak teljesen alaptalanok. Az Egyesült Arab Emírségekben (UAE) nemrég kitört kémprogram-botrány nyomán már a BlackBerry eszközök gyártója, a RIM Technologies cég is lépni kényszerült: saját mentesítő programot ajánl a károsultaknak.

A történet 2009. július 8-án kezdődött, amikor az Etisalat arab mobilnet-szolgáltató több mint százezer ügyfele automatikus értesítést kapott a cégtől, hogy töltsék le és telepítsék készülékükre a legújabb teljesítmény-javítófrissítést.

Számos felhasználó a frissítés után azt tapasztalta, hogy a rendszer jóval lassabban mûködik mint korábban, a tenyérgép akkumulátora pedig hamarabb lemerül. Nigel Gourlay katari programozó megvizsgálta a hibát és rájött, hogy BlackBerry készülékek lemerüléséért egy automatikus, rejtett "hazatelefonáló" funkció a felelős - vagyis kémprogramról van szó.

Félkész eszközzel támadtak az előfizetőkre

Sheran Gunasekera biztonsági tanácsadó alaposabban körbejárta az esetet és július 20-án tanulmányt tett közzé az Etisalat kémprogramjáról, amelynek a kódját sikerült teljes egészében visszafejtenie. A kutató megállapította, hogy kártevő egy amerikai cégtől származik: az SS8 Inc. többek között rendőrségi és titkosszolgálati célokra fejleszt megfigyelő eszközöket.

Az arab megfigyelési ügyben nyilvánvalóan felmerül a gyanú, hogy a CIA vagy más, az Al-Kaida terrorszervezet felderítésén dolgozó külföldi ügynökség állhat a kémkedés hátterében - a kutatók szerint most mégis az a valószínûbb, hogy a telefontársaság saját magától, illetve hazai felkérésre döntött a kémprogram-telepítés mellett.

Az előfizetők megfertőzésére használt szoftver ugyanis a fejlesztés korai állapotában lévő, ún. béta-verziójú példánynak tûnik, amelyet talán kéz alatt szerezhettek be az Etisalat képviselői. A program kizárólag a kimenő e-mail lehallgatására képes - az SMS-ek, az azonnali üzenetküldés és a hanghívások megfigyelésére semmilyen funkcióval sem rendelkezik.

A kémek a felhasználó pontos tartózkodási helyét sem tudják megállapítani ezzel a módszerrel, mert az SS8 programja jelen formájában nem támogatja a vezetéknélküli hálózatok és a GPS mûholdvevő jeleinek továbbítását. A felhasználó amúgy sem vándorolhat túl messzire a konnektortól, mivel a kártevő rendszeres mappanyitogató tevékenysége miatti processzor-használat hamar lemeríti a BlackBerry akkumulátorát...

Könnyen meg lehet szabadulni a félkarú kémprogramtól

Szakmai szempontból még két jelentős hiányosság utal a kémszoftver befejezetlenségére. A programkód nem tartalmaz visszafejtés elleni védelmet, ami szokatlan a rejtett mûködésre szánt termékeknél - viszont megmagyarázza, hogyan tudta Mr. Sheran viszonylag rövid idő alatt teljeskörûen feltárni a kémszoftver mûködését.

A másik gond, hogy az SS8 kémszoftvernek küldött megfigyelés-indító és leállító parancsokat csak e-mail útján vagy a BlackBerry-k egyedi PIN üzenőrendszerén lehet eljuttatni az egyes tenyérgépekre. A PIN fogadása rövid képernyő-felvillanással jár, az e-mail parancsoknak pedig egy másolata megmarad a felhasználó postafiókjában, ami gyorsan leleplezheti a kártevőt - a levélben történő vezérlés alapértelmezésben le is van tiltva a kémszoftverben.

Mivel az Etisalat által az ügyfeleinek küldött kémprogram nem rendelkezik távoli frissítési, eltávolítási funkcióval, Sheran Gunasekera saját fejlesztésû, egyedi kártevő-irtó eszközt tett közzé a neten. A BlackBerry-t gyártó Research in Motion cég is megszólalt az ügyben: sajtóközleményük szerint nem ők tették közzé az Etisalat által ajánlott "frissítést" és nem állnak kapcsolatban az esettel - a felhasználók számára viszont ők is elérhetővé tettek egy eltávolító segédprogramot.

Nemzetbiztonsági célra nem igazán alkalmas a módszer

Az ügyfelei bizalmával új módon, de meglehetősen értelmetlenül visszaélő távközlési cégre bizonyára nem lesz jó hatással a botrány - bár a telekommunikációs ipar 2001. szeptember 11-e óta nyilvánvalóan közremûködik a tömeges lehallgatásokban. Ezt a munkát azonban többnyire egy rejtett központban, az optikai gerinchálózat vezetékeinek megcsapolásával végzik, ahogy azt az AT&T cég 641A számú titkos szobáját leleplező dokumentumok bizonyítják.

A kliens oldali megfigyelés elsősorban a bûnözők és a személyes visszaélések számára nyújthat további lehetőséget. Sheran Gunasekera attól tart, hogy az ő példája nyomán vírusíróknak is sikerülhet az SS8 kémprogramjának visszafejtés, ami lehetővé tenné, hogy a félkész alapot továbbfejlesztve a netes bûnözők kevés munkával, olcsón hozzanak létre új, sokféle funkcióval bíró mobilkártevőket. Ezek valóban rejtve kémkednének és az elemzés elleni védelmük, hálózati frissítési képességeik miatt jóval nehezebb lesz az ellenük folyó küzdelem.


(Forrás: www.virushirado.hu)