Mobile Security Catching Up? Revealing the Nuts and Bolts of the Security of Mobile Devices

ABSTRACT

We are currently moving from the Internet society to a mobile society where more and more access to information is done by previously dumb phones. For example, the number of mobile phones using a full blown OS has risen to nearly 200% from Q3/2009 to Q3/2010. As a result, mobile security is no longer immanent, but imperative. This survey paper provides a concise overview of mobile network security, attack
vectors using the back end system and the web browser, but also the hardware layer and the user as attack enabler. We show differences and similarities between “normal” security and mobile security, and draw conclusions for further research opportunities in this area .

INTRODUCTION

Next to the aforementioned stealing of private data, malware could also contain routines to capture voice calls and to silently record any conversations which are in range of the built-in microphone . Depending on the privileges the malware has, this might happen completely in the background and will only be detectable by sophisticated monitoring of the whole operating system or the generated communication data. This type if eavesdropping is on a different layer than the aforementioned type in Section V. Financially Motivated Attackers: As already shown in several papers , the business around malware got highly financially motivated in the recent years. Shady businesses were built to generate a lot of money from (initially) unaware victims. Not surprisingly, this trend has already reached smartphone malware as there is a strong connection between the smartphone and the MNO through some contract between the user and the provider in order to use the supplied services. Albeit the payment is often done in a flat rate model, some premium services are typically charged separately (e.g., phone calls to special numbers or sending of short messages to some special services) . The abuse of these services is ideal for attackers to generate money, e.g., through offering a highly charged service number for short messages. An infected mobile device could covertly send messages to this number until the user might be aware of this situation on his monthly bill.

چکیده

ما در حال حاضر از جامعه اینترنت به یک جامعه تلفن همراه حرکت می کنیم که دسترسی بیشتر و بیشتر به اطلاعات توسط تلفن هایی که قبلا نتوانسته اند انجام می شود. به عنوان مثال، تعداد گوشی های تلفن همراه با استفاده از یک سیستم عامل کامل، از Q3 / 2009 تا Q3 / 2010 نزدیک به 200 درصد افزایش یافته است. در نتیجه، امنیت تلفن همراه دیگر غیرقابل اجتناب است، اما ضروری است. این مقاله بررسی یک مرور کلی از امنیت شبکه تلفن همراه، بردارهای حمله با استفاده از سیستم برگشت و مرورگر وب، بلکه لایه سخت افزاری و کاربر را به عنوان عامل حمله می دهد. ما تفاوت ها و شباهت ها بین امنیت “نرمال” و امنیت تلفن همراه را نشان می دهیم و نتیجه هایی را برای فرصت های تحقیق بیشتر در این زمینه می گیریم.

مقدمه

در کنار سرقت داده های خصوصی ذکر شده، نرم افزارهای مخرب همچنین می توانند برنامه هایی برای ضبط تماس های صوتی را داشته باشند و به صورت صحیح هر مکالمه ای را که در محدوده میکروفون داخلی قرار دارد ضبط کنند. بسته به مزایای نرم افزارهای مخرب، این ممکن است به طور کامل در پس زمینه اتفاق بیافتد و تنها با نظارت پیچیده کل سیستم عامل یا داده های ارتباطی تولید شده قابل شناسایی است. این نوع در صورت استراق سمع در لایه های مختلفی از نوع فوق در بخش V مهاجمان مجهز به مهاجرت مالی است. همانطور که در چندین مقاله نشان داده شده است، کسب و کار در اطراف نرم افزارهای مخرب در سال های اخیر بسیار مؤثر بوده است. کسب و کار سایه ای برای تولید پول زیادی از (در ابتدا) قربانیان بی اطلاع ساخته شده است. جای تعجب نیست که این روند در حال حاضر به بدافزارهای گوشی هوشمند رسیده است، زیرا ارتباطات قوی بین گوشی هوشمند و MNO از طریق برخی قرارداد بین کاربر و ارائه دهنده به منظور استفاده از خدمات ارائه شده وجود دارد. با این وجود پرداخت اغلب در یک مدل نرخ ثابت صورت می گیرد، برخی از خدمات حق بیمه معمولا به طور جداگانه پرداخت می شود (به عنوان مثال، تماس تلفنی به شماره های خاص یا ارسال پیام کوتاه به برخی خدمات خاص). سوء استفاده از این سرویس برای مهاجمان برای تولید پول مناسب است، برای مثال، از طریق ارائه یک شماره خدمت سربسته برای پیام کوتاه. یک دستگاه تلفن همراه آلوده می تواند به طور مخفیانه پیام هایی را به این شماره ارسال کند تا کاربر بتواند از این وضعیت در صورتحساب ماهیانه خود مطلع شود.

Year: 2011

Publisher : IEEE

By : Michael Becher, Felix C. Freiling,Johannes Hoffmann, Thorsten Holz, Sebastian Uellenbeck, Christopher Wolf