web-dev-qa-db-fra.com

Un mobile «dumbphone» est-il plus sûr pour les appels téléphoniques de base qu'un smartphone?

Par dumbphone, je veux dire: pas de connexion Internet, fonctionnalités très limitées, etc.

Par plus sûr, je veux dire: protégé contre le piratage malveillant et direct. Je ne veux pas dire comme protégé contre les écoutes/espionnage du gouvernement; Je ne parle pas des autorités qui pourraient être autorisées à accéder d'une manière ou d'une autre, par le biais de l'opérateur mobile.

La sécurité de l'appel téléphonique de base a-t-elle beaucoup changé au cours des 10 dernières années? De toute évidence, les smartphones ont un nombre infini de nouvelles failles de sécurité au fil du temps, une navigation rapide dans l'historique des mises à jour de sécurité d'Apple ou une recherche Android dans les actualités technologiques, le prouve. Mais je soupçonne que la plupart de ces vulnérabilités peuvent être utilisées en raison des connexions fréquentes à Internet établies avec elles. Ainsi, les smartphones utilisent-ils quelque chose de nouveau [uniquement dans] l'initiation et la connexion de l'appel téléphonique lui-même?

68
infinite-etcetera

La sécurité de l'appel téléphonique de base a-t-elle beaucoup changé au cours des 10 dernières années?

Ainsi, les smartphones utilisent-ils quelque chose de nouveau [uniquement dans] l'initiation et la connexion de l'appel téléphonique lui-même?

Oui. Il existe de nouvelles technologies utilisées pour établir des appels téléphoniques dans les réseaux cellulaires. Ces nouvelles technologies atténuent certaines attaques qui étaient possibles en raison de failles dans les anciennes. Donc, si vous utilisez un "dumbphone" qui fonctionne avec les anciennes technologies, vous êtes sujet à ces attaques (c'est-à-dire que l'inverse est vrai, le smartphone est à cet égard plus sécurisé).

Les technologies utilisées dans les réseaux cellulaires ont fondamentalement évolué au fil du temps comme ceci: 1re génération (analogique), 2e génération (GSM etc.), 3e génération (UMTS etc.), 4e génération (LTE etc.).

Si vous utilisez un appareil exécutant par exemple la technologie GSM, un attaquant pourrait intercepter vos appels avec des coûts matériels de seulement environ 30 USD . L'interception des appels effectués avec les nouvelles technologies est plus difficile jusqu'à un point où seuls les attaquants des États-nations peuvent les exécuter.

63
Hacktiker

Exemple: Snowden utilise un téléphone classique (c'est-à-dire un téléphone muet). Quelques personnes voudraient attaquer son téléphone, mais même si elles réussissent, c'est une récompense très limitée. OpenMOKO est un exemple d'un tel téléphone. Un attaquant aura probablement besoin d'une bonne connaissance pratique du système qu'il essaie de pénétrer, et Android est facile à persister une fois. Difficile de persister sur un Nokia classique.

Avec un HackRF One et OpenBTS, il est toujours possible d'attraper IMSI (et de rétrograder la crypto et d'écouter les données de protocole + les appels), et dans tous les cas, je comprends que lorsque le modem du téléphone utilise DMA vous êtes quelque peu à la merci de votre fournisseur de téléphonie - qui peut pousser silencieusement les configurations, les mises à jour en direct, etc.

Si possible, assurez-vous que votre téléphone ne peut pas être rétrogradé en GSM cassé. Si vous utilisez un smartphone, n'utilisez pas de navigateurs par défaut, utilisez des applications qui fournissent une cryptographie de bout en bout pour la messagerie instantanée et les appels (WhatsApp, Wire, Signal (le dernier est le meilleur), et si nécessaire VPN sur le wifi public.

22
user400344

Bien sûr, la connexion Internet et les interfaces de données physiques comme USB ou microSD constituent des vecteurs d'attaque.

Cependant, si vous utilisez votre smartphone comme un dumbphone (c.-à-d. N'activez jamais les connexions de données, ne branchez jamais une carte SD dessus et ne la connectez jamais à des appareils autres que le chargeur officiel), le niveau de risque est presque le même.

On peut affirmer que si votre téléphone tombe entre de mauvaises mains, rien n'empêchera l'attaquant d'utiliser ces interfaces, ou d'exploiter Android bugs. Mais l'accès physique est également fatal pour la sécurité des dumbphones. les appareils ont également des interfaces de débogage et des bogues d'interface qui peuvent être exploités.

11
Dmitry Grigoryev

Je pense que vous pourriez confondre deux choses différentes lorsque vous dites "plus sûr".

D'une part, je suis sûr que les anciens systèmes d'exploitation propriétaires des "téléphones muets" pourraient facilement être piratés si l'attaquant pouvait analyser le micrologiciel, par rapport aux "téléphones intelligents" où la sécurité, les autorisations et la sécurité du code managé empêchent beaucoup . De ce point de vue, les "téléphones intelligents" sont beaucoup plus sûrs.

Cependant, si vous regardez les deux types de téléphones en termes de surface d'attaque, il existe beaucoup plus de façons d'attaquer un "téléphone intelligent" qu'un "téléphone stupide". Si tout ce que votre "téléphone stupide" peut faire est un SMS/appel, le pirate est limité à l'accès physique ou aux attaques cellulaires MitM. Apportez la connectivité Bluetooth ou Internet dans l'image et vous ouvrez quelques autres voies. Mais sur les `` téléphones intelligents '', quelqu'un pourrait vous convaincre de télécharger une application malveillante, ou il pourrait vous attaquer via une application légitime qui a des vulnérabilités, ou il pourrait vous hameçonner, etc.

Cependant, si vous aviez à la fois un `` téléphone muet '' et un `` téléphone intelligent '' et que vous limitiez votre activité UNIQUEMENT aux appels téléphoniques, je m'attendrais toujours à ce que le `` téléphone intelligent '' soit plus sécurisé en ce qui concerne le piratage ciblé.

5
Blackhawk

Il peut atténuer certains risques mais vous exposer à d'autres.

Vous voyez, dans la plupart des smartphones (mais pas tous), l'interface du réseau cellulaire est distincte du CPU principal et ne lui parle que via un bus spécifique - si l'interface mobile est compromise, ce n'est pas du jeu mais comme l'attaquant doit encore compromettre le processeur principal (bien que des vulnérabilités dans le code qui contrôle l'interface mobile, l'analyse des messages texte comme Stagefright, etc.).

Les téléphones multifonction, d'autre part, utilisent un chipset tout-en-un qui exécute à la fois le système d'exploitation et gère les communications cellulaires. Si celui-ci est compromis, l'attaquant obtient immédiatement le contrôle total du téléphone. Il est également beaucoup plus facile de masquer les logiciels malveillants dans un téléphone multifonction qu'un smartphone, car vous n'avez pas à vous soucier des futures mises à jour du système d'exploitation, ou de certaines fonctionnalités avancées comme un terminal (sur Android et jailbreaké iOS) qui pourrait permettre à une personne bien informée de détecter votre malware.

3
André Borie