Структура смартфона — иллюзия контроля
Типичный смартфон состоит как минимум из трех различных компьютерных систем, каждая из которых обладает собственной операционной системой и обслуживается разными специалистами из нескольких областей индустрии.
«Процессор приложений». Это устройство, на котором работает Android или iOS. С этой частью смартфона вы и взаимодействуете. Здесь запускаются и работают ваши приложения. Скорее всего, когда вы думаете о своём смартфоне, вы думаете о процессоре приложений.
«Baseband-процессор». Это устройство управляет сотовой радиосвязью телефона. И под сотовой связью мы подразумеваем действительно сотовые технологии, такие как LTE, 5G и т.д., а не Wi-Fi. Baseband-процессор отвечает за подключение и сброс телефонных звонков, сеансов передачи данных, обрабатывает СМС и выполняет другие функции сотовой связи, порой невидимые для пользователя, такие как «Управление мобильностью».
SIM-карта. СИМ-карта представляет собой полную компьютерную систему (с процессором, памятью и файловой системой), работающую под управлением набора приложений и собственной ОС. Когда вы устанавливаете СИМ-карту, она становится неотъемлемой и активной частью вашего смартфона.
Как у пользователя смартфона, у вас могла возникнуть иллюзия, что именно вы управляете своим телефоном. Но на самом деле, функциями вашего телефона управляет ПО этих трех систем, из которых только одна доступна вам напрямую.
Как там получилось? Исторически мы начинали с «обычных телефонов», в которых был baseband-процессор, СИМ-карта и очень простой микропроцессор, управляющий экраном и клавиатурой. Затем, в виде отдельной ветви эволюции, появились КПК. Помните КПК? Смартфон представляет собой слияние этих двух устройств, и по-прежнему существует четкая грань между частью «телефона» (baseband-процессор + СИМ) и частью «КПК» (процессор приложений).
Процессор приложений
Как правило, этот процессор работает под управлением Google Android или Apple iOS. Это единственный процессор, с которым пользователь может взаимодействовать напрямую, например, устанавливать или обновлять ПО. Доступ к остальным процессорам полностью заблокирован, даже в режиме «root» или «jailbreak». С точки зрения безопасности, процессор приложений — это большая поверхность для атаки, и большая часть обсуждений мобильной безопасности ограничивается именно им. Однако этот блог посвящен исключительно телекоммуникациям, и, поскольку процессор приложений практически никак не связан с телекоммуникациями, мы будем двигаться дальше.
Baseband-процессор
Этот процессор осуществляет все телекоммуникационные функции телефона, связанные с телефонными звонками, сеансами передачи данных, СМС, а также на плечах этого устройства лежат функции управления мобильностью, которые позволяют сотовой сети не терять телефон при перемещении от одной сотовой вышки к другой. Baseband-процессор собой закрытую систему с проприетарной ОС без общедоступных средств разработки. В отличие от процессоров приложений, исследование вопроса безопасности baseband-процессоров требует более сложного оборудования и более глубоких знаний, в связи с чем информации об их недостатках в этой области существенно меньше. Но это не означает, что этих недостатков не существует. В частности, известны ошибки некоторых процессоров, которые могут быть использованы с помощью IMSI-перехватчиков или вредоносных клиентов IMS/VoLTE для удаленного выполнения кода или DoS-атак (В этом плане выделяется немецкий хакер Ralf-Philipp Weinmann, хотя у каждого производителя телефонов имеется своя команда безопасности baseband-процессоров).
Для передачи информации между процессором приложений и baseband-процессором существует набор команд «AT», названный так из-за того, что почти каждая команда этого набора начинается с «AT». Набор команд AT унаследован от старых коммутируемых модемов и формально определен для использования в сотовой связи спецификацией GSM 07.07. В протоколе AT процессор приложений является ведущим и отправляет команды и запросы baseband-процессору. Типичными командами являются такие вещи, как «сканировать доступные сети», «выбрать эту сеть», «отправить СМС», «начать телефонный звонок» или «начать сеанс передачи данных». Фактическое содержание данных не представляет интереса для baseband-процессора. Ему все равно что вы просматриваете или о чем вы общаетесь в чате.
Имеются некоторые основания для того, чтобы держать baseband-процессор «под замком». Концепция сотовой сети позволяет базовой станции надежно контролировать радиосреду, и для корректной работы этой концепции каждый процессор должен следовать строгим правилам. «Недобросовестный» телефон, не выполняющий полученные команды, может нарушить работу всей сети.
Я несколько раз отмечал закрытость baseband-процессора, но это не означает, что оператор сотовой связи или поставщик базовой полосы не могут удаленно обновлять ПО процессора. Такие обновления называются OTA(over-the-air, по воздуху), и обычно они доставляются в виде SMS с использованием криптографических методов, чтобы (предположительно) гарантировать надежность источника.
Стоит обратить внимание, что Wi-Fi соединения обычно обрабатываются не baseband-процессором, а гораздо более простым радиоприемником, непосредственно подключенным к процессору приложений. Wi-Fi и сотовая связь — это разные технологии, хотя они и могут казаться одинаковыми на прикладном уровне и иногда объединяются общим термином «беспроводная связь».
СИМ-карта представляет собой смарт-карту стандарта ISO/IEC с некоторыми расширениями ПО. Большинство «симок» производится голландской компанией Gemalto, на которую приходится около 50% рынка, или французской компанией Oberthur, занимающей около 25% рынка. Как и многие современные смарт-карты, СИМ-карту можно запрограммировать с помощью апплетов, написанных на Java. Обычно подобные апплеты попадают в телефон с помощью SMS. Baseband-процессор и СИМ-карта обмениваются данными по последовательному каналу, используя два уровня протокола:
общий протокол смарт-карт, определяемый стандартом ISO/IEC 7816;
функции, специфичные для СИМ-карт, изначально определенные в GSM 11.11, но впоследствии многократно расширенные в 3GPP 51.011 и 3GPP 31.102. Этот интерфейс также называется «SIM Toolkit Application Programmer’s Interface» или «STK API».
В данном случае baseband-процессор является ведущим и инициирует любые коммуникации. Однако, одна из особенностей STK, также известная как «проактивная СИМ», позволяет СИМ-карте отправлять команды baseband-процессору, используя механизм «опроса». Каждые 30 секунд процессор отправляет запрос СИМ-карте с вопросом «Вам что-нибудь нужно?». В ответ на это СИМ-карта может ответить командой, и та власть, которой проактивная СИМ-карта может обладать над baseband-процессором, поражает: фактически, привилегии СИМ-карты в этот момент превосходят привилегии процессора приложений. В частности, СИМ-карта может отправлять СМС, запускать сеансы USSD и управлять дополнительными услугами, такими как «переадресация вызовов». И почти все современные сим-карты являются проактивными.
Между процессором приложений и СИМ-картой нет прямой связи. Некоторые baseband-процессоры могут передавать информацию между ними, но это скорее исключение из правил. СИМ-карта работает непосредственно с baseband-процессором без какого-либо участия процессора приложений, поэтому без специального оборудования пользователь не может узнать о деятельности СИМ-карты.
Заключение
Смартфон — это сложная система, которая порой обманывает ожидания. То, что вы видите на экране своего смартфона, подобно поверхности темного и глубокого бассейна. Если поведение смартфона является проблемой, то лучше всего найти опытного эксперта с необходимым оборудованием для изучения и анализа «подопытного» и правильной интерпретации ситуации.
Форум Apple-iPhone.ru
для владельцев iPhone, iPad, MacBook и Apple Watch
Bootloader, BaseBand и Firmware. Объясняем на пальцах
Что такое Bootloader?
Бутлоадеры отвечают за правильную загрузку iPhone: когда Айфон включается и загружается бутлоадер делает всё, что нужно для загрузки в правильном порядке.
Конечно, бывают случаи когда у людей мачеха. Некоторые люди ушли от своей мамочки 4.6 к мамочке 3.9. Мы надеемся, что если Ваш iPhone это сделал, то Вы об этом знаете.
Почему bootloader так важен?
Бутлоадер 4.6 гораздо строже. Госпожа 4.6 уверена, что её iPhone вырастет и станет Президентом и она контролирует всё, что он делает (или не делает). Например, bootloader 4.6 не разрешает записывать BaseBand, который не проходит валидацию.
Чтобы BaseBand (что это такое читайте ниже) прошёл валидацию понадобиться secpack. Представьте себе, что это секретное слово, которое дети и родители придумали на тот случай, если дядюшка вдруг захочет забрать детей из школы. Без секретного слова secpack’а невозможно записать взломанный BaseBand на телефон. А без взлома BaseBand невозможно использовать метод анлока. Чтобы как-то с этим бороться, многие методы разлочки предлагают Вам развод с Вашей непробиваемой мамой 4.6 и дают взамен добрую мамочку 3.9.
Если же Вам всё-таки хочется жить с мамой 4.6 (потому что Вы тоже хотите стать Президентом), то придётся использовать так называемый soft-update метод, который устанавливает программные обновления в операционную систему телефона, но не изменяет BaseBand. Такой метод иногда называют гибридным анлоком.
Проверить версию bootloader можно так:
установить из Cydia Terminal и minicom
ввести команду at+xgendata
BaseBand
версии: 03.12.06_G, 03.14.08_G, 04.01.13_G, 04.02.13_G, 04.03.13_G, 04.04.05_G
Что такое BaseBand?
Так почему же Apple так сделали? Зачем Apple создал защищенную, сложнодоступную и закрытую часть железа для хранения функций телефона?
Возможно, Вы думаете, что вы делаете звонок, когда набираете цифры на iPhone. Неверно. Вы создаёте цепочку инструкций. Нажав кнопку «Звонок», Вы передаёте эти инструкции операционной системе, а она передаёт их в BaseBand. Именно BaseBand отключает EDGE/GPRS, посылает сотовой вышке сообщение о начале звонка, отдаёт вышке телефонный номер, ждёт ответного сигнала («Занято» или «Свободно») и, как только начинается соединение, он включает микрофон и динамик телефона. Так как ВaseBand знает, как всё это делать, Айфону остаётся только сказать «Позвони-ка на вот этот номер» и ждать ответа. Ему не нужно использовать свой сравнительно мощный процессор для выполнения таких приземлённый вещей.
версии: 1.0.0, 1.0.1, 1.0.2, 1.1.1, 1.1.2, 1.1.3, 1.1.4, 2.0, 2.0.1, 2.0.2, 2.1, 2.2, 2.2.1, 3.0
(англ. firmware, прошивка) — программное обеспечение, встроенное («зашитое») в аппаратное устройство.
Давайте посмотрим еще раз на то, что мы уже прочитали. Когда вы включаете iPhone, мамочка и BaseBand начинают будить и готовить школьника/Firmware к школе. Она следит за тем, что все утренние процедуры и сервисы были выполнены. Она снаряжает и отдаёт портфель/Baseband школьнику/Firmware и отправляет его в школу.
Firmware весьма гибок. На сегодняшний день в него включено ядро iPhone, Springboard (рабочий стол), все его приложения, функции Wi-Fi, Интернета и т. п. Посредством Firmware Apple может менять множество вещей в iPhone.
Как определить версию BaseBand у iPhone
Определить текущую версию BaseBand можно через терминал.
Для этого нам сначала нужно воспользоваться любой из терминальных программ:
На компьютере должен быть установлен терминальный клиент, в качестве которого можно
использовать программу iPhone Tunnel Suite для Windows
и Mac/PC SSH client для ОС Mac.
В консоли нужно выполнить несколько простых команды (пароль alpine): Код:
Форум Apple-iPhone.ru
для владельцев iPhone, iPad, MacBook и Apple Watch
Bootloader, BaseBand и Firmware. Объясняем на пальцах
Что такое Bootloader?
Бутлоадеры отвечают за правильную загрузку iPhone: когда Айфон включается и загружается бутлоадер делает всё, что нужно для загрузки в правильном порядке.
Конечно, бывают случаи когда у людей мачеха. Некоторые люди ушли от своей мамочки 4.6 к мамочке 3.9. Мы надеемся, что если Ваш iPhone это сделал, то Вы об этом знаете.
Почему bootloader так важен?
Бутлоадер 4.6 гораздо строже. Госпожа 4.6 уверена, что её iPhone вырастет и станет Президентом и она контролирует всё, что он делает (или не делает). Например, bootloader 4.6 не разрешает записывать BaseBand, который не проходит валидацию.
Чтобы BaseBand (что это такое читайте ниже) прошёл валидацию понадобиться secpack. Представьте себе, что это секретное слово, которое дети и родители придумали на тот случай, если дядюшка вдруг захочет забрать детей из школы. Без секретного слова secpack’а невозможно записать взломанный BaseBand на телефон. А без взлома BaseBand невозможно использовать метод анлока. Чтобы как-то с этим бороться, многие методы разлочки предлагают Вам развод с Вашей непробиваемой мамой 4.6 и дают взамен добрую мамочку 3.9.
Если же Вам всё-таки хочется жить с мамой 4.6 (потому что Вы тоже хотите стать Президентом), то придётся использовать так называемый soft-update метод, который устанавливает программные обновления в операционную систему телефона, но не изменяет BaseBand. Такой метод иногда называют гибридным анлоком.
Проверить версию bootloader можно так:
установить из Cydia Terminal и minicom
ввести команду at+xgendata
BaseBand
версии: 03.12.06_G, 03.14.08_G, 04.01.13_G, 04.02.13_G, 04.03.13_G, 04.04.05_G
Что такое BaseBand?
Так почему же Apple так сделали? Зачем Apple создал защищенную, сложнодоступную и закрытую часть железа для хранения функций телефона?
Возможно, Вы думаете, что вы делаете звонок, когда набираете цифры на iPhone. Неверно. Вы создаёте цепочку инструкций. Нажав кнопку «Звонок», Вы передаёте эти инструкции операционной системе, а она передаёт их в BaseBand. Именно BaseBand отключает EDGE/GPRS, посылает сотовой вышке сообщение о начале звонка, отдаёт вышке телефонный номер, ждёт ответного сигнала («Занято» или «Свободно») и, как только начинается соединение, он включает микрофон и динамик телефона. Так как ВaseBand знает, как всё это делать, Айфону остаётся только сказать «Позвони-ка на вот этот номер» и ждать ответа. Ему не нужно использовать свой сравнительно мощный процессор для выполнения таких приземлённый вещей.
версии: 1.0.0, 1.0.1, 1.0.2, 1.1.1, 1.1.2, 1.1.3, 1.1.4, 2.0, 2.0.1, 2.0.2, 2.1, 2.2, 2.2.1, 3.0
(англ. firmware, прошивка) — программное обеспечение, встроенное («зашитое») в аппаратное устройство.
Давайте посмотрим еще раз на то, что мы уже прочитали. Когда вы включаете iPhone, мамочка и BaseBand начинают будить и готовить школьника/Firmware к школе. Она следит за тем, что все утренние процедуры и сервисы были выполнены. Она снаряжает и отдаёт портфель/Baseband школьнику/Firmware и отправляет его в школу.
Firmware весьма гибок. На сегодняшний день в него включено ядро iPhone, Springboard (рабочий стол), все его приложения, функции Wi-Fi, Интернета и т. п. Посредством Firmware Apple может менять множество вещей в iPhone.
Как определить версию BaseBand у iPhone
Определить текущую версию BaseBand можно через терминал.
Для этого нам сначала нужно воспользоваться любой из терминальных программ:
На компьютере должен быть установлен терминальный клиент, в качестве которого можно
использовать программу iPhone Tunnel Suite для Windows
и Mac/PC SSH client для ОС Mac.
В консоли нужно выполнить несколько простых команды (пароль alpine): Код:
Интернет вещей по-русски. Baseband-отель LoRaWAN для владельцев RTL-SDR
Концепция переноса обработки сигналов в облако не нова. Во-первых, VRAN (virtual radio access network) это основной способ построения сети операторов сотовой связи. Во-вторых, IoT-сеть компании SigFox строится по тому же принципу, это видно из ее патентов. Проще говоря, это все нереальная круть! Так что же можем сделать мы с вами, чтобы не сидеть на обочине прогресса, а приобщиться к теме?
История вопроса такова: я уже давно занимаюсь радионавигацией, и не смог пройти мимо такого распространенного стандарта радио в интернете вещей, как LoRa. Жутко захотелось сделать для него позиционирование.
Наиболее экономичный способ позиционирования — разностно-дальномерный, в англо-язычной терминологии time difference of arrival (TDOA). Измерители при этом способе могут быть одноканальными, что выгодно отличает их от многоканальных при угломерных методах позиционирования (angle of arrival, AOA). Метод требует измерения относительного времени прихода сигналов на разнесенные в пространстве измерители.
Есть два варианта: первый, привязывать измерения к одной опорной шкале времени, второй, вычислять взаимное время прихода напрямую по взаимной корреляционной функции. Второй требует значительно большей пропускной способности каналов связи с измерителем, но обладает потенциально лучшей помехоустойчивостью. Я выбрал этот подход.
Нужно заметить, что для простоты изложения я пока опускаю вопрос синхронизации несущей частоты и частоты отсчетов измерителей. Этот вопрос надеюсь осветить в следующих публикациях.
Математически второй подход базируется на взаимнокорреляционной функции (ВКФ). Технически это означает, что выборки сигналов должны быть переданы в одно место для вычисления ВКФ. При этом необходимо на всех измерителях, участвующих в позиционировании, выделить по времени отсчеты одного источника излучения. То есть, для построения задуманной системы TDOA-позиционирования LoRa, надо поставить на каждый измеритель по SDR-приемнику с программным демодулятором LoRa, например, таким, какой описан в этой русскоязычной популярной статье. Далее, на каждом SDR-измерителе-приемнике нужно выделять ID излучающего средства и отправлять в центральный вычислитель выборку отсчетов с этим ID. Центральный вычислитель тогда сможет при приеме пакетов отсчетов с одним ID запустить процедуру вычисления ВКФ и процедуру позиционирования. Эта структура показалась мне слишком требовательной к производительности оборудования и сложности софта измерителя. Да и при пиковой нагрузке она давала бы излишнюю нагрузку на канал связи. Поэтому я вспомнил подход к построению структуры обработки сигналов сотовых сетей, который они используют уже давно, а в поколении 5G этот подход должен стать обязательным.
Этот подход называется Virtual Radio Access Network (V-RAN). Можете погуглить по этому сочетанию слов. Я нашел какое-то описание только на английском. Чего-то осмысленно в Wiki по V-RAN нет, зато есть по самой последней концепции — Cloud Radio Access Network или Centralized Radio Access Network (C-RAN). Концепция кажется далекой от реальности — «космические корабли бороздят просторы вселенной».
Как следует из названия, основная особенность заключается в том, что демодуляция сигнала и все последующие стадии обработки переносятся в облако (Baseband hotel). При таком подходе затраты на покупку оборудование снижаются, но появляются затраты на аренду облачных вычислителей, количество которых можно регулировать довольно быстро и удобно, и главное — в соответствии с насущными требованиями. Это приносит экономию. Экономия поверхностно рассматривается в этой статье. А это более подробное изучение концепции.
Удивительно, но низкоскоростная природа IoT делает возможным применение такого «космического» подхода в народном хозяйстве!
Для этого нужно взять Raspberry (или любой другой комп с Linux с поддержкой RTL-SDR и SOAPY) и саму RTL-SDR, которые сейчас имеются у относительно большого числа домохозяйств людей, скачать исходники или бинарники программы, подключиться к облаку и наблюдать сообщения в агрегаторе IoT-сообщений LoRa, таком, например, как The Things Network.
И вам потребуется быстрый интернет. Сейчас поток рассчитывается так: 200 кГц * 32 бита (I, Q) = 6.4 Мбит/с. Потом этот поток сжимается, получается около 3-4 Мбит/с выходит из Raspberry в сторону нашего сервера непрерывно.
Теперь давайте разберем процесс сборки и запуска поэтапно.
Вот RTL-SDR, вставленный в Raspberry Pi 3.
Здесь исходники софта, который берет отсчеты с RTL-SDR, фильтрует и прореживает их и отправляет по вашему интернету в облако. Это делается, чтобы уменьшить скорость передачи данных, требуемую для доставки цифрового сигнала в облако. Софт можно собрать такими необычайно оригинальными командами:
Затем надо настроить частоту приема (по умолчанию 868.1 МГц), адрес и порт сервера обработки при запуске:
и запустить программу. Если она выдаст
, то все идет нормально и можно конфигурировать The Things Network (TTN). Это подробно описано здесь.
Для передачи сообщения вам понадобится LoRa-нод. Мы для простоты использовали такой комплект на Arduino: 
Затем нужно собственно передать тестовое сообщение и убедиться, что облачная LoRa работает. Пример отправки сообщения с помощью Arduino и LoraWAN shield можно найти тут.
В данный момент возможна отправка сообщения по системе ABP (Activation By Personalization, Активация путем персонализации).
В нашем случае отправляемое сообщение выглядит так: 
Сообщение, принятое и записанное в TTN выглядит так: 
Сейчас система работает в опытном, ручном режиме. Возможны разные чудеса, но мы стремимся, чтобы все стало стабильно как можно скорее. Так как основной нашей целью является позиционирование LoRa, то мы ищем добровольцев, готовых подключить свое железо (RTL-SDR и Raspberry или другой компьютер) к нашему серверу только в одном определенном районе Санкт-Петербурга: метро Пионерская, Удельная и Коломяги. У нас уже есть два измерителя: один на перекрестке Коломяжского проспекта и улицы Королева, второй в БЦ «Лайнер» на Вербной улице. Мы хотим с вашей помощью создать сеть с геометрией, которая позволит позиционировать LoRa в районе Удельного парка.
Мы со своей стороны обещаем писать о системе здесь. Надеюсь, у нас хватит ресурсов месяца на три, чего должно быть достаточно для создания системы позиционирования LoRa.
Включайтесь вместе с нами в майнинг радио-эфира для интернета вещей!
Основным разработчиком сего чуда является deef137, прошу любить и жаловать.
Baseband Hacking: новая эра взлома смартфонов
Xakep #271. Сила четырех байтов
Исследователь в области безопасности Ральф-Филипп Вайнманн говорит, что он
нашел новый способ внедрения в мобильные устройства – при помощи поддельной
базовой станции и уязвимостей, обнаруженных в прошивках микросхем, продаваемых
фирмами Qualcomm и Infineon Technologies. Вайнманн продемонстрирует взлом на
примере, как iPhone, так и на устройствах Android, на этой неделе во время
конференции Black Hat в Вашингтоне.
Ранее попытки мобильного хакерства затрагивали операционную систему телефона
или другое программное обеспечение, но этот взлом фокусируется на вторжении в
телефонный процессор, который является оборудованием, посылающим радиосигналы и
принимающим их с телефонных вышек.
Подробности Baseband-взлома
Для осуществления атаки Вайнманн устанавливает поддельный трансивер, который
используется для отправки вредоносного кода при помощи радиосигнала на
устройство, выбранное мишенью. Код использует уязвимость, обнаруженную в GSM/3GPP
стеках baseband-процессоров телефонов. Вайнманн говорит, что такие организации,
как GSM Association и European Telecommunications Standards Institute
(Европейский институт по стандартизации в области телекоммуникаций) даже не
рассматривали возможность такого рода атак.
Нужно ли беспокоиться?
В дополнение к затратам на этот определенный вид взлома – он все-таки
достаточно дорогой – код, который написал Вайнманн, является уникальным,
поскольку он требует глубоких знаний устройства чипсета и лишь некоторые хакеры
достаточно много знают об этом, гласит доклад IDG.
По существу, Вайнманн смог задать новый вектор развития в области взломов
смартфонов, открыть поле деятельности, которое сейчас изучается небольшим
количеством исследователей. В августе, например, Крис Пэйджет продемонстрировал
спуфинг-атаку на хакерской конференции Defcon в Лас-Вегасе, после получения
разрешения для этого от федерального агентства США по связи в последнюю минуту.
Вероятно последователи Вайнманна смогут продолжить его работу, но на это уйдет
достаточно времени.
Иными словами, это по-прежнему развивающаяся область для хакеров.
Слишком рано говорить о разновидностях этой новой техники взлома baseband
hacking, но на данный момент эксперты в области безопасности говорят, что
широкая публика не должна беспокоиться об атаках вроде этой в ближайшем будущем.
