Nogle SMS-netværk, der er sårbare over for angreb

På denne uges Black Hat-konference i Las Vegas vil forskerne Zane Lackey og Luis Miras vise, hvordan de kunne at forfalske SMS- og MMS-beskeder (MMS) og forfalske signaleringsdataene, der ligger til grund for disse meddelelser.

Hverken forskeren kunne kommentere for denne historie, men i en beskrivelse af deres torsdagssprog, der blev sendt til Black Hat-webstedet, siger de, at de planlægger at frigive SMS-hackingsværktøjer og demonstrere en iPhone-baseret applikation, der kan bruges i flere SMS-angreb. "SMS er også en af ​​de eneste mobiltelefon angreb overflader, der er standard og kræver næsten ingen bruger interaktion at blive angrebet," siger de i deres tale abstrakt.

[Yderligere læsning: Bedste NAS kasser til streaming og backup af medier]

Forskerne var i stand til at sende sms-beskeder fra en telefon til en anden, der indeholdt konfigurationsoplysninger, der normalt kun stammer fra netværksservere, ifølge en kilde, der var bekendt med talen, som talte på betingelse af anonymitet, fordi han ikke var bemyndiget til at tale om sagen. Forskningsoplysningerne sikkerhedsfejl i den måde, hvorpå nogle mobilnetværk kommunikerer med enhederne på netværket. "Grundlæggende fandt de ud af, at der er en måde at omgå alle afsenderens validering," sagde kilden.

iPhone-værktøjet, der kører på en jailbroken version af enheden, lader dem sende sms-beskeder med data, der skal normalt kun sendes fra transportnetværket, sagde kilden. "De har fundet en ny angrebsvektor, hvormed folk kan forsøge at udnytte telefoner baseret på ugyldige forudsætninger, som netoperatørerne og telefonoperatørerne har lavet om sikkerheden for denne kommunikationskanal."

Angrebet virker på GSM (Global System for mobile kommunikation) -baserede netværk, der anvendes af operatører som AT & T og T-Mobile, men fungerer ikke på CDMA-netværk (Code Division Multiple Access), sagde han.

Det er ikke klart, hvor farligt et sådant sms-baseret angreb kunne være, eller hvad præcis forskerne var i stand til at gøre med deres forfalskede meddelelser, men luftfartsselskaber bruger sms til at sende grundlæggende konfiguration til telefonerne. I teorien kan en angriber muligvis bruge denne teknik til at omdirigere en telefons webbrowser til en ondsindet server eller ændre meddelelser om voicemail.

"Vi diskuterer at angribe de grundlæggende SMS- og MMS-implementeringer selv sammen med tredjepartsfunktionalitet, der kan nås via SMS ", skriver forskerne i deres abstrakte.

SMS bruger en kommunikationskanal, der blev udformet som en måde for netoperatører at sende grundlæggende statusopdateringer mellem mobiltelefoner og netværket, og først senere udviklede den sig som en ekstremt populær måde at sende korte beskeder mellem mobiltelefonbrugere på.

Netværksservere, der håndterer SMS-trafik, er bygget af virksomheder som Ericsson, Nortel, Lucent og Nokia Siemens.

Mobiloperatører har længe styret softwaren og enheder, der kan bruges på deres netværk, men tilsyneladende er disse netværk ikke så tæt kontrolleret som det var tidligere troet. "De er ikke så åbne som internettet, men der er helt sikkert mange dårlige ting, som du kan gøre, at folk aldrig forventede," sagde kilden. "Der er masser af ondsindede ting, du kan gøre."