În principal am vorbit despre modul în care pot fi exploatate aplicaţiile stocate pe cartela SIM (SIM Application Toolkit), dar şi despre metodele prin care ne putem proteja (din păcate nu prea multe). Câteva idei:

• atacul reprezintă de fapt trimiterea unui mesaj text tip comandă către cartela de telefon
• problema a fost raportată către CERT (Computer Emergency Response Team) de mai bine de un an, însă din păcate ei nu au primit feedback de la persoanele şi companiile anunţate
• pentru a avea succes nu este nevoie ca utilizatorul să aibă vreo aplicaţie instalată pe telefon şi nici de acces fizic la telefon
• este o modalitate eficientă de atac întrucât serviciul de SMS este întotdeauna pornit, utilizatorii primesc mereu mesaje indiferent dacă se află într-o convorbire sau navighează pe net
• chiar dacă se instalează aşa-zisele call blacklist, care pot bloca şi mesajele, telefonul tot primeşte mesajul, doar că nu e afişat pe ecran
• prin însuşi modul în care este este definit standardul GSM, aceste tipuri de mesaje trimise nu vor apărea în Inbox şi utilizatorul nici nu va fi anunţat în vreun fel ca a primit un mesaj
• comanda trimisă prin SMS este direcţionată către cartela SIM, care execută instrucţiunea şi apoi trimite răspunsul la numărul de la care a primit mesajul
• aplicaţia SIM este de fapt acel meniu ce poartă de obicei numele operatorului (Orange, Vodafone, etc) şi vă oferă servicii precum SIM backup, Vremea, Mobile banking, etc
• dacă SIM-ul nu are acest extra-meniu, atunci atacul nu merge, deci sunteţi protejaţi
• hint: în România un singur operator de telefonie mobilă nu distribuie cartele SIM ce au vreo aplicaţie pe ele
• răspunsul trimis este sub formă de SMS, deci utilizatorul va fi taxat pentru acest mesaj (doar dacă nu are cumva un plan tarifar cu minute nelimitate)
• există provideri de SMS-uri ce permit trimiterea mesajelor cu orice identitate (se pot trimite mesaje ca venind din partea lui Moş Crăciun de exemplu)
• întrucât cartela răspunde la comandă prin trimiterea unui mesaj şi întrucât cel care atacă poate modifica numărul de pe care a fost trimis mesajul, se poate foarte simplu trimite un mesaj către un număr cu suprataxă
• schematic, ar fi cam aşa: atacator trimite mesaj comandă provenind de la numărul cu suprataxă 1567 (luat la întâmplare) către numarul 071234567xx -> cartela cu acest număr primeşte comanda, o execută şi transmite rezultatul execuţiei către numărul 1567 -> victima este taxată cu 10 EUR (spre exemplu).
• preţ trimitere mesaj de către atacator, folosind un provider de mesaje text: 5 centi sau 0.05 EUR; preţ plătit de victimă: 10 EUR; câştig total atacator pentru un singur mesaj: 9.95 EUR; multiplicarea atacului la cât mai multe persoane: de nepreţuit
• nu de fiecare dată telefonul afişează faptul că SIM-ul trimite un mesaj text, depinde de producător şi model
• această vulnerabilitate nu are nicio legătură cu hacking-ul, ci este o modalitate normală de comportare aşa cum e specificat în GSM
• cea mai eficientă metodă pentru a protecţie este cea care ar trebui să fie oferită de operatorul de telefonie, prin filtrare acestor tipuri de mesaje care nu vin din partea unor numere prestabilite sau din propria reţea

Slide-urile de la prezentare le puteţi găsi aici: CLICK ME!

Un lucru îmbucurător este faptul că cei de la RIM (care produc telefoanele BlackBerry) m-au contactat după conferinţă pentru a le trimite toate detaliile întrucât nu toate telefoanele lor avertizează utilizatorul asupra faptului că un mesaj iniţiat de cartela SIM este în curs de trimitere şi nici nu oferă blocarea acestor mesaje.

Înregistrarea video (în engleză) o găsiţi mai jos – procesarea video e făcută de mine, abia în februarie iese înregistrarea oficială:

Sper că operatorii de telefonie şi producătorii de telefoane  nu vor încerca mascarea acestor lucruri prin ameninţări, pasarea responsabilităţii în altă ogradă , etc. Totodată sper ca prin cele prezentate lumea va deveni mai conştientă asupra acestor probleme şi se va gândi de 2-3 ori înainte să-şi dea numărul de telefon, CNP-ul, PIN-ul de la card, adresa exactă şi alte informaţii folosite la întrebările secrete ce pot deveni periculoase în mâinile unui atacator.

Referinţe de citit – vizitat:

ETSI TS 100 901 V7.5.0 (2001-12), page 13
ETSI TS 100 901 V7.5.0 (2001-12), page 38
ETSI GSM 11.14, December 1996, Version 5.2.0, page 33
ETSI TS 100 901 V7.5.0 (2001-12), page 42
ETSI TS 101 181 V8.9.0 (2005-06), page 13
ETSI TS 101 181 V8.9.0 (2005-06), page 13
http://adywicaksono.wordpress.com/2008/05/21/
http://bb.osmocom.org/trac/wiki/dct3-gsmtap
http://berlin.ccc.de/~tobias/cos/s60-curse-of-silenceadvisory.txt
http://en.wikipedia.org/wiki/SMS
http://www.gemalto.com/techno/stk/
http://www.mseclab.com
http://www.nobbi.com/pduspy.html
https://gsm.tsaitgaist.info/doku.php?id=siminfo

Keep it safe!

1. tarifarea se face în momentul livrării serviciului – de exemplu dacă trimit un SMS de pe prepay, iar acesta nu a fost livrat sau l-am trimis către un număr inexistent, voi fi tarifat, pe când la abonament acest lucru nu se întâmplă
2. pot suna oricând, fără a mă îngrijora că nu mai am credit (sau unităţi cum mai zic unii)
3. am serviciul de redirecţionare activ
4. nu mi se poate fura numărul

Cu privire la furatul numărului, acest lucru este extrem de uşor de făcut. Dacă ţi-ai pierdut cartela, pentru prepay procedura presupune să te duci la o reprezentanţă a operatorului unde completezi o foaie cu întrebări standard gen creditul avut, cu ce valoare reîncarci de obicei, ultimele numere apelate, opţiuni active. După ce reprezentantul a făcut verificările respective, în câteva minute vei fi fericitul posesor al numărului de telefon. Problema e că, deşi nu dai toate informaţiile corecte (câţi ştiu pe de rost numărul cel mai des apelat sau cu adevărat ce opţiuni au?), în general tot primeşti numărul de telefon. Recent, un coleg chiar a avut această problemă. Într-o zi s-a trezit că nu-i mai merge cartela SIM (nu se înregistra în reţea) aşa că a sunat la operator pentru a afla detalii. Cu stupoare a aflat că numărul a fost declarat pierdut şi că altcineva deţine numărul. După ce a fost la reprezentaţă, aceştiau au constatat că într-adevăr e o problemă şi în maxim 24 ore va avea iar activ numărul pe cartela SIM iniţială. Totodată a aflat că persoana ce-i luase numărul se afla în Cluj, colegul fiind din Iaşi.  De curiozitate a întrebat cum poate preveni acest lucru, iar răspunsul a fost unul sec: dacă treceţi pe abonament. Aşadar, dacă aveţi un număr interesant şi sunteţi pe prepay, există o destul de mare posibilitate ca cineva să vă poată lua numărul. De aflat dacă un număr e pe abonament sau nu este la fel de simplu şi metode sunt multe, iar una din ele prespune chiar folosirea într-un mod nu tocmai etic a facilităţii de generare a codului PUK. Acest cod e folosit în momentul în care aţi introdus de mai multe ori (de obicei 3) greşit codul PIN. Opţiunile de aflare a codului PUK sunt: cod PUK pentru abonament sau cod PUK pentru prepay. În cazul în care selectaţi spre exemplu aflarea codului pentru prepay dar introduceţi un număr de abonament, sistemul vă spune că… numărul introdus nu este un număr prepay.

Redirecţionarea numărului o folosesc în momentul în care am de-a face cu persoane care se plictisesc şi sună cu număr privat/ascuns. Da, se poate afla cine sună cu număr ascuns şi, deşi i-am atenţionat de câteva ori în urmă cu vreo 2 ani, nu au reparat problema şi se pare că au fost alţii care au găsit şi ei procedura de aflare a numărului.

Aşadar, abonament sau prepay?