Il cellulare 'dumbphone' è più sicuro per le chiamate di base di uno smartphone?

Has the security of the basic phone call changed much, in the last 10 years ?

So, do smartphones utilise anything new [purely in] the initiation and connection of just the phone call itself ?

Sì. Esistono nuove tecnologie utilizzate per stabilire le telefonate nelle reti cellulari. Queste nuove tecnologie mitigano alcuni attacchi che erano possibili a causa di difetti nei vecchi. Quindi, se si utilizza un "dumbphone" che funziona con le tecnologie precedenti, si è soggetti a tali attacchi (vale a dire l'inverso è vero, lo smartphone è a questo riguardo più sicuro).

Le tecnologie utilizzate nelle reti cellulari si sono sostanzialmente evolute nel tempo in questo modo: 1a generazione (analogica), 2a generazione (GSM ecc.), 3a generazione (UMTS ecc.), 4a generazione (LTE ecc.).

Se utilizzi un dispositivo che esegue ad esempio la tecnologia GSM, un utente malintenzionato potrebbe intercettare le tue chiamate con costi hardware di solo circa $ 30 USD . Intercettare le chiamate effettuate con le nuove tecnologie è più difficile fino al punto in cui solo gli attaccanti dello stato nazione possono eseguirle.

Caso in questione: Snowden utilizza un telefono con funzionalità (ad esempio "telefono stupido"). Alcune persone vorrebbero attaccare il suo telefono, ma anche se ci riescono, è una ricompensa molto limitata. OpenMOKO è un esempio di tale telefono. Un utente malintenzionato avrà probabilmente bisogno di una buona conoscenza del sistema che sta cercando di penetrare, e Android è facile persistere una volta dentro. È più difficile persistere su un Nokia classico.

Con HackRF One e OpenBTS è ancora possibile prendere IMSI (e downgrade di crypto e ascoltare i dati del protocollo + chiamate), e in ogni caso è a mia conoscenza che quando il modem del telefono sta usando DMA sei un po ' in balia del tuo fornitore di telefonia, che può inviare silenziosamente configurazioni, aggiornamenti via etere, ecc.

Se possibile, assicurati che il tuo telefono non possa avere il suo 4 / 3G downgrade a GSM guasto. Se utilizzi uno smartphone, non utilizzare browser predefiniti, utilizza app che forniscono crittografia end-to-end per IM e chiamate (WhatsApp, Wire, Signal (l'ultimo è il migliore) e se necessario VPN su wifi pubblico.

Certo, la connessione Internet e i dati fisici come intefacenti come USB o microSD costituiscono vettori di attacco.

Tuttavia, se si utilizza lo smartphone come dumbphone (ovvero non si abilitano mai le connessioni dati, non si inserisce mai una scheda SD e non si collega mai a dispositivi diversi dal caricabatterie ufficiale), il livello di rischio è quasi il stessa .

Si può sostenere che se il tuo telefono cade nelle mani sbagliate, nulla impedirà all'utente malintenzionato di utilizzare tali interfacce o sfruttare i bug di Android. Ma l'accesso fisico è fatale anche per la sicurezza dei dumbphone. Questi dispositivi hanno anche interfacce di debug e bug di interfaccia che possono essere sfruttati.

Penso che potresti confondere due cose diverse quando dici "più sicuro".

Da un lato, sono sicuro che i vecchi sistemi operativi proprietari di "telefoni stupidi" potrebbero essere facilmente hackerati se l'utente malintenzionato potrebbe analizzare il firmware, rispetto agli "smart phone" in cui sicurezza, autorizzazioni e sicurezza del codice gestito prevenire molto. Da tale punto di vista, gli "smart phone" sono notevolmente più sicuri.

Tuttavia, se guardi i due tipi di telefono in termini di superficie di attacco , ci sono molti più modi per attaccare uno "smart phone" rispetto a un "telefono stupido". Se tutto il tuo 'telefono stupido' può fare è di testo / chiamata, l'hacker è limitato all'accesso fisico o agli attacchi MitM cellulari. Porta la connettività Bluetooth o Internet nella foto e apri un paio di altre strade. Ma su "smart phone", qualcuno potrebbe convincerti a scaricare un'app dannosa, oppure potrebbero attaccarti attraverso un'app legittima che presenta vulnerabilità, oppure potrebbero farti phishing, ecc.

Tuttavia, se tu avessi sia un "telefono stupido" che uno "smart phone", e limitassi la tua attività SOLO alle telefonate, mi aspetterei comunque che il "telefono intelligente" sia più sicuro rispetto all'hacking mirato.

Può attenuare alcuni rischi ma esporli ad altri.

Come vedi, nella maggior parte degli smartphone (ma non in tutti ), l'interfaccia di rete cellulare è separata dalla CPU principale e parla solo attraverso uno specifico bus - se l'interfaccia mobile è compromessa non è gioco appena ancora come l'attaccante deve ancora compromettere la CPU principale (anche se le vulnerabilità nel codice che controlla l'interfaccia mobile, l'analisi dei messaggi di testo come Stagefright, ecc.)

Caratterizzano i telefoni, d'altra parte usano un chipset all-in-one che esegue sia il sistema operativo che la comunicazione cellulare. Se questo viene compromesso, l'attaccante ottiene immediatamente il pieno controllo del telefono. È anche molto più facile nascondere il malware in un feature phone rispetto a uno smartphone perché non devi preoccuparti dei futuri aggiornamenti del sistema operativo che lo infastidiscono, o alcune funzionalità avanzate come un terminale (su Android e jailbroken iOS) che potrebbero consentire a qualcuno di conoscere rileva il tuo malware.