Дневник параноика. Может ли кто-нибудь взорвать мой смартфон?

Новость о массовом взрыве пейджеров в Ливане многих застала врасплох. Во-первых, пейджеры в 2024 году — что? А во-вторых, возникает резонный вопрос — если можно дистанционно взорвать пейджеры, значит, можно взорвать вообще все что угодно? Или нет? Инженер по безопасности Алексей Калаверин объяснил 66.RU, почему не стоит спать с телефоном под подушкой, даже если за вами не следят спецслужбы Израиля.

Откуда вообще взялись пейджеры?

В России сотовые операторы вытеснили пейджинговую связь еще в начале нулевых. Однако устаревшими гаджетами продолжают пользоваться в других странах. Например, в США их раздают сотрудникам клиник — персонал моментально получает сообщение, а отсутствие обратной связи и примитивность устройства полностью исключают наводки на медицинскую технику. Таким образом, пейджеры используют в любых заведениях со схожими задачами — это крайне дешево, быстро и удобно, а батарейка меняется раз в три месяца.

Недавно лидер «Хезболлы», опасаясь покушений на себя и своих подчиненных, начал устранять риски, исключая сложные устройства и сложный, легко подверженный хакерским атакам хайтек (лифт сломать проще, чем лестницу). Поэтому группировка резонно пришла к идее использования пейджинговой системы в масштабах целого города и закупила эти примитивные для нас устройства.

Сейчас основная версия происходящего — поставка «Хезболле» средств связи, дополнительно оснащенных системами самоуничтожения (по их заказу) или «комплиментом от шеф-повара» спецслужб вражеских для «Хезболлы» стран.

При этом инженеры различных смежных сфер склоняются к версии supply chain attack (атака на цепочку поставок). Иными словами: якобы израильская разведка «Моссад» каким-то образом перехватила звено в цепочке поставок устройств спецсвязи, установила туда бонус-опцию, которую никто не ждал, и тем или иным способом (активация через радиосигнал, через специальный переданный код или вообще по обычному таймеру с датой-временем) активировала закладку. Либо каким-то образом, например обратным инжинирингом полученного образца пейджера с системой самоуничтожения, смогли создать и провести атаку по массовой активации этой программы в масштабах города.

Остальные версии про хакерские атаки путем разогрева и подрыва пальчиковых батареек пока малозначимы, так как плохо вписываются в логику происходящих событий.

Как послали сигнал, если сеть принадлежит Ливану?

Целью кибератаки мог быть кол-центр, через который и были активированы устройства. Пока нам не известно, какие это были пейджеры, их механизм работы и опции поставки. Об этом информация будет позднее. Предположительно, если взорвались «обычные пейджеры» в духе таких же, как были в России в конце 90-х, с прозрачной и даже примитивной работой по тому же самому стареющему протоколу, который не менялся с семидесятых, то кол-центр можно использовать для рассылки сообщений для активации скрытого в пейджере устройства.

Если и была задействована инфраструктура пейджингового оператора (вряд ли, массовая рассылка бы точно привлекла внимание, если не вообще в принципе была пресечена автоматикой), то это никак не объясняет последующие события — рации не принимают пейджинговые сообщения, но и эти гаджеты были взорваны 18 сентября.

Сигнал о самоуничтожении, равно и как сигнал об активации закладки, не обязательно нужно распространять именно через кол-центр. Скорее, для этого используется конкретный радиодиапазон, в котором ожидается конкретная последовательность, модулированная особым образом, — и вот тут возможна атака на инфраструктуру, раздающую радиосигнал на город.

Смартфоны с мощными батареями опасны?

Ко всем электроустройствам нужно относиться с должным уважением и соблюдать технику безопасности: читать руководство и не эксплуатировать устройства с повреждениями или дефектами.

Поэтому никогда не кладите заряжающийся смартфон рядом с подушкой или кроватью, следите за исправностью зарядных устройств и целостностью проводов, ни в коем случае не используйте зарядные устройства в ванне и душе. Телефоны могут нанести серьезные повреждения, в том числе фатальные.

Негодный телефон будет себя чувствовать плохо вне зависимости от действий злоумышленника и будет стремиться завершить свой земной путь самостоятельно. Так, например, было совсем недавно с сотовыми телефонами одного флагманского производителя при падении давления в кабинах пассажирских самолетов.

Но подобный случай был один в истории. К тому же к этому моменту уже было все застраховано исторически: в июне 2014 года ICAO (международная ассоциация — регулятор гражданских авиаперевозок) определила, где и как надлежит перевозить различного типа аккумуляторы, чтобы устройства не загорелись в багажнике.

Может ли хакер удаленно взорвать аккумулятор смартфона?

Злоумышленник вряд ли сможет воздействовать на сам контроллер, управляющий питанием, а устройства, которые такое позволяют сделать программным способом, вряд ли представлены на рынке среди уважающих себя популярных вендоров.

Нельзя заставить взорваться и AAA-батарейку так, чтобы нанести представленные увечья. Это возможно в том случае, если заложить в устройство специальный механизм. Теоретически возможно взорвать все, но вероятность такого маловероятного события, даже если вы цель «Моссад», — в районе прилета говорящих бактерий на метеорите после дождика в четверг.

Может ли хакер взломать смартфон по аналогии с пейджерами?

Например, Android имеет большее количество известных уязвимостей, но это говорит лишь только о том, что комплексный анализ кода открытой операционной системы может проводить кто угодно, в отличие от закрытого и обфусцированного софта Apple. С другой стороны, архитектурно iOS позволяет находить куда как больше подробностей вмешательства во внутренние процессы операционной системы (смотрите историю с Pegasus).

А панацеи нет. В группу риска попадают те люди, которые не обновляют технику и софт, а также добровольно взламывают систему защиты своего устройства, и тем более все, кто ставит туда программное обеспечение из неизвестных источников.

Основной вектор атаки всегда — человек, именно человек сам запускает шифровальщиков, троянов и червей, именно пользователь сам переводит деньги мошенникам или диктует коды из СМС. Это не значит, что так происходит всегда, это значит, что люди — всегда самое слабое звено. Что с телефоном, что между креслом и компьютером.

Простым людям, за которыми не следят спецслужбы, не стоит беспокоиться?

Можно уверенно сказать, что те, кто является потенциальными целями для «Моссад» и иных спецслужб, и так в курсе, о чем им следует переживать, а простых смертных это не касается. Советую по возможности не использовать электроприборы в Ливане — да и никакие устройства там пока не используйте. В целом это можно расширить в наше время до «будьте аккуратны везде и всегда».