Ранее в этом году, доктор Йосси Орен и его команда исследователей в Отделе BGU программного обеспечения и Information Systems Engineering (ISE), обнаружил уязвимость безопасности во внутренних контактах между компонентами сотового телефона Android и центральным процессором (CPU) телефона. Они предупредили разработчика Android Google и помогли международной компании решить проблему.«Наша технология не требует, чтобы производители устройств поняли или изменили любой новый кодекс», говорит доктор Орен. «Это – брандмауэр, который может быть осуществлен как крошечный чип, или как независимый программный модуль, работающий на центральном процессоре».Приблизительно 400 миллионов человек изменяют компоненты своего телефона, такие как сенсорные экраны, зарядные устройства и сборка батарей или датчиков, которая все восприимчива к значительным нарушениям правил безопасности и нападениям.
Эти компоненты, называемые «полевыми заменимыми единицами (FRUs)», общаются с телефонным центральным процессором по простым интерфейсам без механизмов идентификации или возможностей обнаружения ошибки. Злонамеренный продавец мог добавить поставивший под угрозу FRU к телефону, оставив его уязвимым для пароля и финансового воровства, мошенничества, злонамеренной фотографии или видео распределения и несанкционированных загрузок приложения.«Эта проблема особенно острая в Android Market со многими производителями, которые работают независимо», говорят исследователи. «Нападение этого типа происходит возле склада телефона; это может пережить телефонный фабричный сброс, отдаленный вытирает и микропрограммные обновления. Существующие решения по обеспечению безопасности не могут предотвратить этот определенный вопрос безопасности».
Исследователь Омер Шварц добавляет, «Нет никакого пути к самому телефону, чтобы обнаружить, что он находится под этим типом нападения. Наше решение предотвращает злонамеренный или неправильно сконфигурированный FRU от заключения компромисса кодекса, работающего на центральном процессоре, проверяя всю поступающую и коммуникабельную коммуникацию».
Исследовательская группа использовала алгоритмы машинного обучения, чтобы контролировать внутренние контакты телефонов для аномалий, которые могут указать на вредоносный код. Их программное обеспечение позволило им определять и предотвращать произведенные аппаратными средствами утечки данных и хакерские проникновения.Статья об открытии и новое программное обеспечение будут представлены на Семинаре по Offensive Technologies в Ванкувере, Канада в этом августе.
Доктор Орен и доктор Асаф Шэбтай сотрудничали на бумаге наряду со студентами исследования Омером Шварцем и Амиром Коэном.«Работа команды доктора Орена – последнее изобретение из ИСЕ в BGU», говорит Зэфрир Леви, первый вице-президент развития бизнеса в BGN Technologies, компании по коммерциализации и передаче технологии Университета. «В прошлое десятилетие ИСЕ породил много изобретений, которые использовались во всем мире через патенты, проданные международным корпорациям и компаниями по запуску».
Исследователи стремятся далее проверить патентованную технологию с телефонными производителями.