image

Kwaadaardige batterij kan gegevens van smartphones stelen

vrijdag 22 juni 2018, 12:02 door Redactie, 8 reacties

Onderzoekers hebben een nieuwe aanval bedacht waarbij kwaadaardige batterijen worden ingezet om gegevens van smartphones te stelen. Smartphones beschikken steeds vaker over "smart batterijen" die voor een langere levensduur moeten zorgen. Deze batterijen vormen echter ook een gevaar voor de privacy van de gebruiker, aldus onderzoekers van Technion, Hebrew University en UT Austin (pdf).

Een speciaal geprepareerde batterij is namelijk in staat om het gedrag van de gebruiker te monitoren en gegevens naar een aanvaller te versturen. Het gebruik van een kwaadaardige batterij heeft volgens de onderzoekers verschillende voordelen voor de aanvaller. De aanval is lastig te detecteren en de batterij is eenvoudig toe te voegen. Een aanvaller hoeft slechts korte tijd toegang tot het toestel te hebben. Dit kan bijvoorbeeld tijdens een beveiligingscontrole op het vliegveld, in een reparatiewinkel of door het toestel in de logistieke keten te onderscheppen.

Aan de hand van het stroomverbruik kan de batterij zien wat de gebruiker doet, zoals welke websites er worden bezocht, wat de gebruikt typt, wanneer er foto's worden gemaakt en wanneer er wordt gebeld. De opgevangen data moet vervolgens naar de aanvaller worden verstuurd, wat volgens de onderzoekers een uitdaging is, maar niet onmogelijk. Het zou bijvoorbeeld kunnen via wifi of Bluetooth of door gebruik te maken van een kwaadaardige app op het toestel zelf.

De onderzoekers ontwikkelden echter een andere methode waarbij de informatie automatisch wordt verstuurd als het doelwit een kwaadaardige website bezoekt. De website kan namelijk gebruikmaken van de html5 Battery Status API om met de batterij te communiceren waardoor er een zogeheten "covert channel" ontstaat voor het versturen van de informatie. "Ons onderzoek laat zien dat een aanval met een kwaadaardige batterij krachtig en haalbaar is. Het vereist alleen goedkope en compacte onderdelen", aldus de onderzoekers in hun conclusie. Ze stellen dat het lastig is om de aanval volledig te voorkomen en er verder onderzoek naar beschermingsmaatregelen is vereist.

Image

Reacties (8)
22-06-2018, 12:15 door Briolet
en de batterij is eenvoudig toe te voegen. Een aanvaller hoeft slechts korte tijd toegang tot het toestel te hebben

Ik vraag me af of korte tijd genoeg is. Bij steeds meer smartphones is de behuizing 'waterdicht' verlijmd, zodat je echt enige tijd bezig bent met een batterijwissel.
22-06-2018, 13:32 door MathFox
Door Briolet:Ik vraag me af of korte tijd genoeg is. Bij steeds meer smartphones is de behuizing 'waterdicht' verlijmd, zodat je echt enige tijd bezig bent met een batterijwissel.
Als je die batterij nu eens "af fabriek" meelevert, met "subsidie" door een web-advertentie platform.
22-06-2018, 13:58 door Anoniem
Door Briolet:
en de batterij is eenvoudig toe te voegen. Een aanvaller hoeft slechts korte tijd toegang tot het toestel te hebben

Ik vraag me af of korte tijd genoeg is. Bij steeds meer smartphones is de behuizing 'waterdicht' verlijmd, zodat je echt enige tijd bezig bent met een batterijwissel.
Rest nog hoe dit gaat werken.

Een batterij wisselen betekend ook dat je telefoon even uitgaat en je je code in ieder geval voor je sim weer moet intikken na een batterij wissel.

Dit heeft alleen een goede kans van slagen als het gebeurd wanneer je je telefoon inlevert reparatie ect.
22-06-2018, 15:03 door Anoniem
Wouw, even het verhaal wat simpeler maken:

Als je je auto onbeheerd met de sleutels er in langs de weg laat staan kun iemand anders er mee tegen een boom rijden.
Bij de dealer is hij ook niet veilig, want een kwaadwillende monteur zou hem in het kanaal kunnen rijden.
23-06-2018, 19:35 door Anoniem
Smart devices en nu smart batterijen,google lacht zich rot,want
we hebben weer privacy data.

Goed voor facebook,goed voor google en hun tech-partners,
en jij als burger word gebruikt als een profiel met algoritmes.

Smart devices everywhere.
25-06-2018, 08:07 door Anoniem
gebruikmaken van de html5 Battery Status API
Waarom zou een website de status van mijn batterij moeten weten ??
25-06-2018, 12:25 door Anoniem
Door Anoniem:
gebruikmaken van de html5 Battery Status API
Waarom zou een website de status van mijn batterij moeten weten ??

Om je te monitoren welke apps etc jouw batterij belasten zoals omschreven in het artikel "Aan de hand van het stroomverbruik kan de batterij zien wat de gebruiker doet, zoals welke websites er worden bezocht, wat de gebruikt typt, wanneer er foto's worden gemaakt en wanneer er wordt gebeld"
25-06-2018, 12:50 door Anoniem
Even een vraagteken: hoe is het in vredesnaam mogelijk dat door het accuverbruik is vast te stellen wat de gebruiker intikt? Dit lijkt me nu echt een heeeeel vreemde en niet realistische aanvalsvector.

"Aan de hand van het stroomverbruik kan de batterij zien wat de gebruiker doet, zoals welke websites er worden bezocht, wat de gebruikt typt,"

Hoe dan???
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.