Dominik Kocuj - strona domowa
Dominik Kocuj - strona domowa
http://dominik.kocuj.pl

Dominik Kocuj - strona domowa
  • 23 Maj 2017

Dominik Kocuj - strona domowa

Dominik Kocuj - strona domowa - każda,sieć,komórkowa,jest,podatna,błąd,może,użytkowników,telefonów,sporo
  • Subskrypcja

Niechciany SMS, za który musisz płacić

27 grudnia 2011
Dominik Kocuj  | 27 grudnia 2011
Kategoria: Bezpieczeństwo
 
Każda sieć komórkowa jest podatna na błąd, który może użytkowników telefonów sporo kosztować. Chodzi o możliwość wymuszenia, aby telefon sam wysłał wiadomość SMS pod wskazany numer, bez możliwości zablokowania tego przez użytkownika.

Bogdan Alecu przedstawił w ostatnim czasie informacje o tej luce. Większość operatorów wgrywa na karty SIM tzw. oprogramowanie SIM Application Toolkit, które jest sterowane wiadomościami SMS ze specjalnymi komendami. Wszystko wydaje się w porządku, gdyż takie wiadomości są szyfrowanie i podpisywane cyfrowo przez operatora GSM, uniemożliwiając ich sfałszowanie. Ale łamanie szyfrów nie jest konieczne, aby użyć tego w celach, które mogą być problematyczne dla użytkownika.

Wystarczy wysłać specjalnie spreparowaną wiadomość SMS, która będzie miała, oczywiście, błędny podpis i szyfr. Wtedy telefon automatycznie wysyła odpowiedź z informacją o problemie w rozpoznaniu podpisu. Wiadomość taka odsyłana jest jednak na numer, z którego przyszedł spreparowany SMS. A wpisanie dowolnego numeru nadawcy do wiadomości nie stanowi już od dawna problemu.

Prześledźmy przykładowy scenariusz. Atakujący wysyła spreparowany SMS z numeru premium, czyli takiego, który udostępnia jakieś usługi i jest liczony drożej. Są to numery w postaci np. 7442. Załóżmy, że telefon otrzymał wiadomość z tego numeru. Podpis i szyfr są błędne, więc telefon wysyła o tym informację – ale znów na numer 7442. Użytkownik w ten sposób płaci za wysłanie SMS-a pod ten numer i nawet o tym nie wie, ponieważ nie ma żadnej informacji w telefonie na ten temat. A oszust na tym zarabia.

Opisywany atak udał się na telefonach Samsung, HTC, BlackBerry i iPhone. Nie udało się dokonać tego na telefonach marki Nokia, ponieważ posiadają one możliwość włączenia potwierdzenia odsyłania wiadomości serwisowej przez narzędzie SIM Application Toolkit. Standardowo taka opcja jest jednak z reguły wyłączona.

Teraz ruch należy do operatorów sieci komórkowych. Tylko oni mogą zrobić coś, aby takie ataki nie były skuteczne w przyszłości. Pozostaje mieć nadzieję, że tak się stanie.

Źródło: telepolis.pl


Brak komentarzy


Ta strona używa "ciasteczek" ("cookies"), które są zapisywane na Twoim urządzeniu końcowym. Więcej informacji