هیچ گوشی هوشمند امنی وجود ندارد!

این یک واقعیت ساده است که اغلب موارد به طرز قابل توجهی نادیده گرفته می‌شود.
گوشی‌های هوشمند جدید یک تراشه‌ی پردازنده و یک تراشه‌ی باند پایه دارند که اتصالات شبکه‌های رادیویی (GSM/UMTS/LTE/etc) را کنترل می‌کنند. این تراشه از طریق یک DMA به سی‌پی‌یو متصل می‌شود. بنابراین تا وقتی که از یک IOMMU استفاده نشود، باند پایه دسترسی کاملی به حافظه‌ی اصلی داشته و می‌تواند به دلخواه خود آن را در معرض خطر قرار دهد.
می‌توان با اطمینان گفت که این باند پایه به شدت ناامن است. این باند یک منبع بسته است و شاید اصلاً بررسی هم نشود. درک ما این است که پیدایش سفت‌افزارهای باند پایه‌ی جدید تلاشی برای توسعه‌ی باند پایه‌ی GSM بوده که شروع آن به دهه‌ی ۱۹۹۰ برمی‌گردد و آن زمانی بود که اهمیت شیوه‌های توسعه‌ی نرم‌افزار به شکل امن چندان آشکار نبود. به عبارت دیگر، درک ما بر پایه‌ی تحقیقاتی که انجام داده‌ایم این است که این سامانه به شدت گرایش دارد که ناامن باشد و به احتمال زیاد در برابر اجرای کدهای متعدد از راه دور آسیب‌پذیر است.
بنابراین هیچ گوشی هوشمندی نمی‌تواند در برابر دشمنی که قادر است تا ارتباط‌های رادیویی دستگاه (UM) را در معرض تهدید قرار دهد امن باشد. این موضوع شامل هر کسی که بتواند به استقرار دستگاه‌های گمراه‌‌کننده بپردازد و یا هر کسی که بتواند به کنترل ایستگاه پایه‌ی آن بپردازد می‌شود، چه این شخص یک نفوذگر قانونی یا غیرقانونی و هر چیز دیگری باشد.
از نظر ما این کار احمقانه‌ای نیست که فرض کنیم تعدادی از دولت‌ها (یا پیمان‌کاران آن‌ها) کدهایی برای سوءاستفاده از این قابلیت‌های باندهای پایه‌ی از راه دور آماده کرده باشند.
تا زمانی که باند پایه مورد بررسی کامل قرار نگرفته است و گوشی‌های هوشمند از IOMMUs برخوردار نیستند، و سامانه‌های عامل آن‌ها به گونه‌ای پیکربندی نشده‌اند که حجم تهدیدات را کاهش دهند، هیچ گوشی هوشمندی وجود ندارد که بتوان به آن برای محرمانه بودن و پردازش مطمئن اطلاعات اعتماد کرد.
مسأله این است که درخواست برای گوشی‌های امن و ارتباطات امن در چنین شرایطی بسیار عجیب و غریب است.
بنابراین تنها دو راه برای امن کردن گوشی‌های تلفن همراه وجود دارد:‌ بررسی باند پایه و یا استفاده از یک IOMMU (واحد مدیریت حافظه‌ی ورودی/خروجی). در حالی‌که هنوز امنیت سخت‌افزارهای گوشی‌های هوشمند تضمین نشده‌اند، نمی‌توان حتی در مورد امنیت نرم‌افزارهای آن‌ها گفت‌وگو کرد.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap