Sažetak
Prošle godine Project Zero, Googleov tim za istraživanje sigurnosti, otkrio je i prijavio 18 nezakrpanih ranjivosti u baseband firmwareu popularnih mobilnih telefona. Neke od ovih ranjivosti napadači su mogli iskoristiti da potpuno preuzmu kontrolu nad mobilnim telefonom drugih osoba bez njihove interakcije: bilo bi dovoljno upisati broj ciljanog telefona i započeti poziv na koji se žrtva ne bi morala niti javiti. U sklopu ovoga predavanja vidjet ćemo što je to mobilni baseband procesor i što radi, koje vrste ranjivosti postoje u softveru koji se izvršava na tom procesoru i kako napadač može iskoristiti te ranjivosti. Vidjet ćemo kako možemo započeti tražiti takve ranjivosti, čak i bez specijalizirane hardverske opreme - dovoljno je samo osobno računalo i alati otvorenog koda. Pokazat ćemo alate i tehnike koje Google Project Zero koristi za nalaženje ranjivosti i neke od rezultata vezanih za 4G / 5G protokole koje koriste mobilni telefoni.
Biografija
Ivan Fratrić je inženjer i istraživač u Googleovom Project Zero timu u Švicarskoj, gdje se bavi otkrivanjem ranjivosti u popularnom softveru kao što su web preglednici, aplikacije za slanje poruka i mobilni operacijski sustavi. Prije toga radio je na analizi sigurnosti Googleovih softverskih proizvoda. Prije Googlea bio je znanstveni novak na Fakultetu Elektrotehnike i Računarstva u Zagrebu, gdje je doktorirao 2011. godine. Bavi se istraživanjem sigurnosti više od desetljeća te je objavio više radova i predavanja na konferencijama na tu temu. Autor je nekoliko popularnih alata otvorenog koda za otkrivanje ranjivosti.