Полезная статья о том как могут действовать злоумышленники ради получения средств посредством отправки платных смс.

смс

Недостатки стандартов мобильной связи дают мошенникам возможность без ведома владельца телефона организовать отправку SMS на платные номера, или создать трудности при получении обычных текстовых сообщений.

Уязвимость касается системы обмена сообщениями на приложениях, которые устанавливаются операторами на SIM-карты. Эта система имеет название SIM Application Toolkits. Данные приложения используются для таких функций как вывод на экран баланса счета, работы с голосовой почтой или совершения электронных микроплатежей.

Эти приложения обмениваются с инфраструктурой оператора особым образом отформатированными SMS-сообщениями с цифровой подписью. Эти сообщения обрабатываются телефоном, не попадая в папку входящих и не подавая сигнала для пользователей. В крайнем случае телефон при получении такого сообщения выводится из спящего режима.

При этом используется надежная технология шифрования данных, вот только проблема в том, что если какая-либо команда не может быть выполнена, то оператору отсылается сообщение об ошибке. Это открывает для хакеров две возможности для совершения вредоносных действий.

Читайте также:  Запуск SMS-сервиса "МТС Онлайн" по коротким номерам 100601-100690

В первом случае злоумышленник может использовать данный сервис для подмены операторского номера на номер для платных SMS, в результате деньги со счета жертвы будут переводиться на счет злоумышленника. При этом злоумышленники не могут контролировать непосредственный процесс отправки служебных сообщений, однако это не умаляет опасности данных действий.

Во втором случае в ответ на запрос оператора отправляются преднамеренно поврежденные сообщения, которые смс2интерпретируются системой как недоставленные, запрос отправляется снова, и на него опять приходит «поврежденный» ответ. Процесс зацикливается и обычные SMS-сообщения на телефон уже не проходят. Получается что-то вроде DoS-атаки.

Уязвимость была продемонстрирована специалистом по имени Богдан Алеку на конференции по вопросам безопасности DeepSec, которая проводилась в Вене (Австрия).

Алеку протестировал атаки на устройствах производителей Samsung, Nokia, HTC, RIM и Apple. Защититься от уязвимость можно только на телефонах Nokia — меню этих устройств позволяет устанавливать подтверждения перед отправкой служебных сообщений. Однако по умолчанию эта опция отключена. Операторы могли бы минимизировать атаки путем фильтрации сообщений в формате SIM Toolkit и занося в «белые списки» номера, которым разрешено их отправлять. Однако, Алек сказал, что он пока еще никто из операторов применил такие меры контроля, даже после тестирования нападений на устройства операторов мобильной связи в Румынии, Болгарии, Австрии, Германии и Франции.

Читайте также:  Запрет контента для абонентов МТС

Алеку рассказал об уязвимости Компьютерной группе реагирования на чрезвычайные ситуации (Computer Emergency Response Team) и число уязвимостей было локализовано, но нет никаких подробностей о том, когда может быть произведено исправление. Алеку заявил, что, в любом случае, эту проблему легче решать при помощи фильтрации сообщений операторами, чем пытаться обновить миллионы телефонов.

 

Источник Журнал Хакер


От себя добавлю:

Есть много как бы полезных софтин (программ) которые якобы позволяют получать доступ к платным разделам сайта, якобы ничего не отправляя.

Примером является программа Sms Unlocker Pro

SMS Unlocker Pro позволяет бесплатно отправлять платные смс на короткие номера!
Программа отправляет SMS сообщение через гейт мобильных операторов с подменой исходящего номера. С помощью SMS Unlocker Pro можно получить доступ к сайтам, продающим эротическо-развлекательный контент. Поддерживаются операторы Билайн и МТС.

 

Всегда ваш, "Хай-теч вам в бок"

Добавить комментарий

Ваш e-mail не будет опубликован.