Федеральная комиссия по связи США (FCC) решила активизировать усилия по устранению существующих уже не первое десятилетие уязвимостей в протоколах сетей телефонной связи, которые могут эксплуатироваться для удалённого шпионажа и мониторинга беспроводных устройств.

Источник изображения: Gerd Altmann / pixabay.com

Речь идёт о протоколах SS7 (Signaling System Number 7) и Diameter, которые используются операторами фиксированной и мобильной связи для обеспечения соединения между сетями. Оба протокола имеют изъяны в безопасности, которые делают абонентов уязвимыми для слежки. SS7 был разработан в середине семидесятых годов, и его можно использовать, чтобы определять местоположения телефонов, перенаправлять звонки и текстовые сообщения с перехватом информации, а также шпионить за пользователями. О его уязвимостях известно по меньшей мере с 2008 года. Diameter разработали в конце девяностых годов — он включает поддержку доступа мобильных устройств к сети для работы с вызовами и сообщениями в сети оператора и в роуминге. Но при транспортировке он не шифрует IP-адреса, облегчая злоумышленникам проведение сетевых атак.

FCC 27 марта обратилась к телекоммуникационным операторам с предписанием изучить вопрос и предоставить отчёт о мероприятиях по противодействию эксплуатации уязвимостей SS7 и Diameter для отслеживания местоположения потребителей. Комиссия также попросила операторов подробно описать инциденты с эксплойтами протоколов с 2018 года: даты и события инцидентов, какие уязвимости эксплуатировались, какие методы для этого применялись, а также указать личность злоумышленника, если таковая была установлена. Операторы должны предоставить отчёты до 26 апреля, после чего FCC в течение месяца может дать собственный ответ.

Ведомство начало действовать в ответ на запрос от сенатора Рона Уайдена (Ron Wyden) — он в марте обратился к администрации президента США с призывом «устранить серьёзные угрозы, созданные слабыми действиями в области кибербезопасности со стороны операторов беспроводной связи».

Технологические гиганты Apple, Google и Samsung, производители электронных замков Allegion и ASSA ABLOY, чипмейкеры Qualcomm и NXP и множество других компаний объявили о запуске проекта Aliro по разработке стандарта для умных замков и цифровых ключей. Первую спецификацию планируют выпустить в 2025 году.

Источник изображения: csa-iot.org

Название проекта Aliro переводится с эсперанто как «доступ». В разработке стандарта участвуют более двухсот компаний, а координирует работу Альянс стандартов связи CSA (Connectivity Standards Alliance), в чьём активе значится протокол умного дома Matter. Цель проекта — глобальный протокол связи и общая система учётных данных, которые позволят любому авторизованному смартфону или умным часам открывать умные замки от дома, офиса, шкафчика в раздевалке спортзала или где-либо ещё вне зависимости от производителя замка. Работа началась в конце 2021 года — тогда проект назывался Access Control Working Group, а у его истоков стояли Allegion, Apple, ASSA ABLOY, Google, Infineon, Kastle Systems, Last Lock, NXP Semiconductors, Qualcomm, Samsung и STMicroelectronics.

Участники проекта Aliro сформулировали его базовые принципы.

• Простота — снижение барьеров для внедрения за счёт снижения сложности интеграции и оптимизации при устранении сбоев.
• Гибкость — поддержка различных типов установок и архитектур, удобный доступ к общим и индивидуальным точкам входа.
• Безопасность — основа для внедрения актуальных защищённых и доверенных решений мобильного доступа.
• Совместимость — стандартизированный протокол связи, который обеспечивает совместную работу устройств и считывателей вне зависимости от производителя.

Источник изображения: Jan Alexander / pixabay.com

Пока все эти задачи не решены. Сегодня цифровой доступ к входной двери дома, офиса или гостиничного номера предполагает загрузку мобильного приложения, наличие специального телефона или другого оборудования. Aliro предполагает стандартизацию этого механизма с возможностью интегрировать цифровой ключ в телефон, часы или другое потребительское устройство. Пока это лишь идея, но конечный результат, вероятно, будет напоминать схему работы технологии Apple Home Key: в цифровом кошельке телефона хранится электронный ключ, доступный через умные часы — он не требует специального приложения и совместим с любым замком, который поддерживает этот стандарт. Владелец замка контролирует доверенные ключи через приложение. Единственное условие — наличие логотипа Aliro, который подтверждает совместимость.

Стандарт Aliro находится в разработке уже более года, но всё ещё остаётся на стадии концепции. Официальная спецификация пока отсутствует, существующих продуктов тоже нет, и появятся они не ранее чем через полтора года. Из профильных компаний лидерами проекта являются Allegion и ASSA ABLOY, два крупнейших производителя электронных замков в мире; активное участие в работе принимают технологические гиганты Apple, Google и Samsung. По схожей модели разрабатывался стандартный протокол умного дома Matter.

Проект Aliro не связан с Matter, хотя оба входят в CSA, а некоторые компании участвуют в обоих проектах, и два стандарта могут дополнять друг друга. Спецификация Aliro предполагает гибкость в разных вариантах использования, определяя механизмы поддержки NFC, BLE и UWB, а также взаимодействия между считывающим устройством (цифровым замком) и пользовательским устройством (смартфоном или умными часами). Схема связи считывающего устройства с домашней экосистемой и серверной частью протоколом не описывается. Разработчикам также придётся определиться с вопросом обратной совместимости Aliro с уже существующими системами.

General Motors объявила о выпуске собственного протокола ПО с открытым исходным кодом в качестве «отправной точки» для других автопроизводителей и разработчиков в создании лучшего программного обеспечения для автомобилей, превратившихся в компьютеры на колёсах. GM видит возможность для всей отрасли совместно работать над программными проектами. С этой целью компания также присоединяется к Eclipse Foundation, «крупнейшей в мире организации ПО с открытым исходным кодом».

Источник изображений: General Motors

uProtocol от GM является частью плана автопроизводителя по ускорению разработки за счёт оптимизации создания ПО, работающего в автомобильных системах, в облаке и на мобильных устройствах. GM запустила свой собственный протокол с открытым исходным кодом в надежде, что «остальная часть отрасли также примет аналогичный подход к совместному использованию программного обеспечения, обеспечивающего большую совместимость в отрасли», — заявил Фрэнк Генассиа (Frank Ghenassia), исполнительный главный архитектор программно-определяемых транспортных средств в GM.

В течение последних нескольких лет автомобильная промышленность набирала тысячи разработчиков программного обеспечения в надежде привнести в свой автопарк больше сложных программно-технических функций. Результатом стал выпуск автомобилей с постоянно обновляемыми функциями программного обеспечения. Tesla была пионером отрасли, внедрившим широкое распространение обновлений ПО по беспроводной сети. Теперь остальная часть отрасли пытается наверстать упущенное, выпуская собственные модернизируемые автомобили.

Основное усилия GM вкладывает в Ultifi, программную платформу, которая появится в автомобилях в конце этого года. Комплексная программная платформа обеспечит обновления OTA (Over-the-air update), услуги подписки в автомобиле и «новые возможности для повышения лояльности клиентов». Ultifi может включать в себя все, от приложений погоды до потенциально спорных функций, таких как использование автомобильных камер для распознавания лиц или обнаружения детей для автоматического включения блокировки автомобиля.

Система на базе Linux также будет доступна сторонним разработчикам. А uProtocol послужит для них отправной точкой. Это «коммуникационный протокол, который позволяет программным компонентам взаимодействовать друг с другом, а также обмениваться информацией, — пояснил Генассиа. — Сам протокол не включает спецификацию структуры сообщений и содержания информации, которой обмениваются программные компоненты». Из его слов можно сделать вывод, что GM пытается стандартизировать протоколы связи, а не передаваемый контент, который останется собственностью GM, является объектом авторского права и не должен быть доступен конкурентам.