WAP-технологія з кожним днем отримує все більше поширення в мережах стільникового зв’язку: як гриби після дощу з’являються нові WAP-сайти, швидко зростає кількість абонентів, які купили стільникові телефони з підтримкою WAP (а самі WAP-телефони дешевшають і стають доступні пересічним споживачам).

Оператори знижують тарифи на послуги передачі даних і вводять в експлуатацію різні інформаційно-фінансові WAP-послуги, в тому й числі і системи мобільного комерції (m-commerce). Користування мобільним телефоном, що підтримує WAP, стає ознакою стежить за модою, технологічно просунутого людини. Однак будь-яка нова технологія, як і будь-яке ускладнення, несе в собі нові небезпеки. Чим більше стільниковий телефон стає схожий на міні-комп’ютер, тим більше побоювань у користувачів викликає можливість доступу до їх конфіденційної інформації сторонніх осіб, а також загроза стати жертвою WAP-хакерів. Як у будь-якій іншій системі електронних платежів та обміну конфіденційною інформацією, питання безпеки транзакцій — ключова ланка всієї системи.

Система мобільного Інтернету складається з двох частин транспортних передачі інформації — радіоканалу стільникового зв’язку і самої інфраструктури Інтернету. В мережах GSM використовуються засоби захисту протоколу WAP, а в Інтернеті — протоколу TCP/IP. Протоколу Wireless Transport Layer Security (WTLS), який входить в специфікацію WAP, забезпечує захист при передачі даних на шляху від WAP-теминала абонента до WAP-шлюзу. При передачі даних на необхідний ресурс в Мережі вони захищаються протоколом Secure Sockets Layer (SSL) зі спеціальним 128-бітовим ключем шифрування. На жаль, в цій на першій погляд непогано захищеній системі є недоробка в точці спряження мобільного інфраструктури та Інтернету. При перекодуванні даних вони залишаються на якийсь час абсолютно незахищеними. Перетворення WTLS — SSL — WTLS здійснюються на WAP-шлюзу, і як раз в цей час дані залишаються незашифрованими і потенційно уразливими. Фактично це означає можливість стороннього втручання в передану і прийняту інформацію, будь то e-mail, секретний пароль або звичайні wml-сторінки.

При здійсненні покупок і платежів з допомогою WAP-терміналу користувачів лякає ймовірність того, що з їх рахунку продавець може зняти велику суму, ніж потрібно для оплати товару, як іноді трапляється при оплаті кредитними картами. У більшості випадків такої небезпеки не існує, так як структура системи електронних платежів спроектована таким чином, що продавець отримує лише підтвердження про оплату товару необхідною сумою, а сам безпосередньо гроші з рахунку клієнта не знімає.

Деяких користувачів послуг мобільного Інтернету цікавить також питання захисту стільникових телефонів від вірусів, якими можна «заразитися», перебуваючи в онлайні (за аналогією зі звичайними комп’ютерами, підключеними до Мережі). «Чим більше мобільний телефон буде ставати схожий на комп’ютер, тим жахливіше будуть віруси для нього», — заявив керівник відділення корпорації IBM WATSON RESEARCH CENTRE.

Перший у світі вірус, що зачепила власників мобільних телефонів, з’явився в Іспанії. Від зловмисників постраждали абоненти іспанського стільникового оператора MOVISTAR. Вірус, який його творець назвав «TIMOFONICA», закидає жертву непотрібними SMS-повідомленнями. Програма відноситься до класу «хробаків». Вона, як і сумнозвісна «I LOVE YOU», написана на мові VB SCRIPT. Втім, це був не якийсь «стільниковий диво-вірус», а звичайний комп’ютерний вірус, рассылающий з Інтернету через SMS-шлюз повідомлення згенерованим номерами. Однак, в принципі, поява спеціальних «стільникових вірусів» — вже реальність і вже є перші жертви. Мова йде про абонентів японської NTT DoCoMo, що використовують мобільні телефони з підтримкою i-mode: 11 серпня цього року, під час онлайнового опитування про відносини, відповідь «так» на деякі питання супроводжувався негайним дзвінком в поліцію за номером 110. Природно, виклик поліцейського номери здійснювався без участі власника телефону; всього було зареєстровано близько 400 таких дзвінків. Як з’ясувалося, в Інтернет-опитуванні, створеному спеціально для апаратів з i-mode, була прихована відповідна «троянська» функція. Винних не знайшли

Можливість створення вірусів для мобільних телефонів ґрунтується на тому, що в них існує деяка подібність операційної системи, яка з кожною новою моделлю телефону все удосконалюється і ускладнюється.

Втім, стільникові віруси поки не здатні зіпсувати інформацію на sim-картці абонента, т. к. інформація на ній захищена, як і будь-якої іншої сучасної smart-картки. Не секрет, що існує величезна кількість різних моделей мобільних телефонів, і всі вони мають різне програмне забезпечення. Таким чином, прояв якого-небудь універсального мобільного вірусу практично неможливо. Деякі розробники «антивирусников» для ПК всерйоз зацікавилися створенням антивірусного пакету для мобільних телефонів. «Такі поняття як функціональність і безпека сьогодні несумісні. Як тільки телефон став більше, ніж просто трубкою з мікрофоном і динаміком, стало неминучим створення вірусу для нього», — вважає президент компанії Symantec Research Centre Ерік Чиен. Розробку антивіруса для приладів, які підтримують WAP, проанонсувала і російська антивірусна «Лабораторія Касперського». Михайло Калініченко, технічний директор «Лабораторії Касперського», розповів, що вже зараз певні формати SMS-повідомлень здатні «підвішувати» будь-GSM-телефон. У міру інтеграції стільникових телефонів і PDA (цифрових органайзерів) небезпека буде зростати. «Модифікація виконуваного коду — наприклад, шкідливими програмами можлива там, де є завантажується софт, в сучасних апаратах він „прошитий“ у залізі» — каже пан Калініченко, — як тільки технологія просунеться в достатній мірі, виникнення вірусів стане можливим, і статися це може вже через рік”. Встановлювати створені в майбутньому стільникові антивірусні пакети будуть на своїх серверах стільникові оператори, і, таким чином, кінцевих користувачів телефонів ця проблема турбувати не буде.

Передбачається, що надалі рівень безпеки WAP істотно підвищиться з введенням системи так званих WIM-модулів (Wireless Identity Module), які гарантують захист сеансів Інтернет-транзакцій за допомогою спеціального шифрування і систем «цифровий підпис» для авторизації онлайнових операцій даного мобільного користувача. Також стане можливим використання багатозадачних логічних каналів, що дозволяють користувачу переходити з однієї програми на іншу, не втрачаючи при цьому зв’язку з попереднім. На жаль, подібні функції стануть можливі тільки у версіях WAP-протоколу 1.2 і 2.0, а в даний час повсюдно використовується версія 1.1. Так що будьте пильні, власники WAP-апаратів…