Home » GSM » Despre securitatea SMS-urilor
formats

Despre securitatea SMS-urilor

SIM ToolkitAşa cum menţionam în postarea anterioară, am făcut o mică excursie în Viena. Scopul: am fost invitat ca speaker pentru conferinţa de securitate DeepSec.

Bogdan Alecu - DeepSec 2011

În principal am vorbit despre modul în care pot fi exploatate aplicaţiile stocate pe cartela SIM (SIM Application Toolkit), dar şi despre metodele prin care ne putem proteja (din păcate nu prea multe). Câteva idei:

  • atacul reprezintă de fapt trimiterea unui mesaj text tip comandă către cartela de telefon
  • problema a fost raportată către CERT (Computer Emergency Response Team) de mai bine de un an, însă din păcate ei nu au primit feedback de la persoanele şi companiile anunţate
  • pentru a avea succes nu este nevoie ca utilizatorul să aibă vreo aplicaţie instalată pe telefon şi nici de acces fizic la telefon
  • este o modalitate eficientă de atac întrucât serviciul de SMS este întotdeauna pornit, utilizatorii primesc mereu mesaje indiferent dacă se află într-o convorbire sau navighează pe net
  • chiar dacă se instalează aşa-zisele call blacklist, care pot bloca şi mesajele, telefonul tot primeşte mesajul, doar că nu e afişat pe ecran
  • prin însuşi modul în care este este definit standardul GSM, aceste tipuri de mesaje trimise nu vor apărea în Inbox şi utilizatorul nici nu va fi anunţat în vreun fel ca a primit un mesaj
  • comanda trimisă prin SMS este direcţionată către cartela SIM, care execută instrucţiunea şi apoi trimite răspunsul la numărul de la care a primit mesajul
  • aplicaţia SIM este de fapt acel meniu ce poartă de obicei numele operatorului (Orange, Vodafone, etc) şi vă oferă servicii precum SIM backup, Vremea, Mobile banking, etc
  • dacă SIM-ul nu are acest extra-meniu, atunci atacul nu merge, deci sunteţi protejaţi
  • hint: în România un singur operator de telefonie mobilă nu distribuie cartele SIM ce au vreo aplicaţie pe ele
  • răspunsul trimis este sub formă de SMS, deci utilizatorul va fi taxat pentru acest mesaj (doar dacă nu are cumva un plan tarifar cu minute nelimitate)
  • există provideri de SMS-uri ce permit trimiterea mesajelor cu orice identitate (se pot trimite mesaje ca venind din partea lui Moş Crăciun de exemplu)
  • întrucât cartela răspunde la comandă prin trimiterea unui mesaj şi întrucât cel care atacă poate modifica numărul de pe care a fost trimis mesajul, se poate foarte simplu trimite un mesaj către un număr cu suprataxă
  • schematic, ar fi cam aşa: atacator trimite mesaj comandă provenind de la numărul cu suprataxă 1567 (luat la întâmplare) către numarul 071234567xx -> cartela cu acest număr primeşte comanda, o execută şi transmite rezultatul execuţiei către numărul 1567 -> victima este taxată cu 10 EUR (spre exemplu).
  • preţ trimitere mesaj de către atacator, folosind un provider de mesaje text: 5 centi sau 0.05 EUR; preţ plătit de victimă: 10 EUR; câştig total atacator pentru un singur mesaj: 9.95 EUR; multiplicarea atacului la cât mai multe persoane: de nepreţuit
  • nu de fiecare dată telefonul afişează faptul că SIM-ul trimite un mesaj text, depinde de producător şi model
  • această vulnerabilitate nu are nicio legătură cu hacking-ul, ci este o modalitate normală de comportare aşa cum e specificat în GSM
  • cea mai eficientă metodă pentru a protecţie este cea care ar trebui să fie oferită de operatorul de telefonie, prin filtrare acestor tipuri de mesaje care nu vin din partea unor numere prestabilite sau din propria reţea

Slide-urile de la prezentare le puteţi găsi aici: CLICK ME!

Un lucru îmbucurător este faptul că cei de la RIM (care produc telefoanele BlackBerry) m-au contactat după conferinţă pentru a le trimite toate detaliile întrucât nu toate telefoanele lor avertizează utilizatorul asupra faptului că un mesaj iniţiat de cartela SIM este în curs de trimitere şi nici nu oferă blocarea acestor mesaje.

Înregistrarea video (în engleză) o găsiţi mai jos – procesarea video e făcută de mine, abia în februarie iese înregistrarea oficială:

 

Sper că operatorii de telefonie şi producătorii de telefoane  nu vor încerca mascarea acestor lucruri prin ameninţări, pasarea responsabilităţii în altă ogradă , etc. Totodată sper ca prin cele prezentate lumea va deveni mai conştientă asupra acestor probleme şi se va gândi de 2-3 ori înainte să-şi dea numărul de telefon, CNP-ul, PIN-ul de la card, adresa exactă şi alte informaţii folosite la întrebările secrete ce pot deveni periculoase în mâinile unui atacator.

Referinţe de citit – vizitat:

ETSI TS 100 901 V7.5.0 (2001-12), page 13
ETSI TS 100 901 V7.5.0 (2001-12), page 38
ETSI GSM 11.14, December 1996, Version 5.2.0, page 33
ETSI TS 100 901 V7.5.0 (2001-12), page 42
ETSI TS 101 181 V8.9.0 (2005-06), page 13
ETSI TS 101 181 V8.9.0 (2005-06), page 13
http://adywicaksono.wordpress.com/2008/05/21/
http://bb.osmocom.org/trac/wiki/dct3-gsmtap
http://berlin.ccc.de/~tobias/cos/s60-curse-of-silenceadvisory.txt
http://en.wikipedia.org/wiki/SMS
http://www.gemalto.com/techno/stk/
http://www.mseclab.com
http://www.nobbi.com/pduspy.html
https://gsm.tsaitgaist.info/doku.php?id=siminfo

Keep it safe!

 

5 Responses

  1. stelian

    Interesant ar fi o aplicatie de protectie, o schema logica a acestei aplicatii.
    Sucses!

    • Bogdan Alecu

      Nu exista nicio aplicatie care sa te protejeze de asemenea atac si nici nu se poate face. Ca si „aplicatie” ar trebui implementata direct in sistemul de operare al telefonului, insa intrucat cei cativa producatori de telefoane nu dau la liber codul sursa, nu se poate face nimic :)

  2. sandu

    Probabil ca acel singur operator este RCS-RDS cu serviciul Digi.Mobil.

  3. […] faptul că la întâlnirea 3GPP din mai 2012, cei de la RIM au prezentat vulnerabilitatea pe care am descoperit-o si prezentat-o in cadrul DeepSec […]

Dă-i un răspuns lui Bogdan Alecu Anulează răspuns

Adresa ta de email nu va fi publicată. Câmpurile necesare sunt marcate *

Poți folosi aceste etichete și atribute HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

© m-sec.net
credit