Na konferencji Black Hat Europe, która odbyła się w Amsterdamie, trójka włoskich naukowców przedstawiła sposób, za pomocą którego możliwe jest przejęcie kontroli nad danymi przesyłanymi z oraz do telefonu. Dzięki niemu możliwa jest na przykład kradzież hasła czy wstrzyknięcie do urządzenia złośliwego kodu.
Przedstawiony sposób wykorzystuje specjalnie spreparowaną wiadomość SMS, podobną do tej, którą wysyła operator w celu konfiguracji dostępu do Internetu na urządzeniu klienta. Inżynierom udało się opracować narzędzie umożliwiające stworzenie takiego SMSa i wysłanie go na telefon ofiary. Tak stworzona wiadomość może zawierać dowolne dane, które pozwalają m.in. na skierowanie ruchu poprzez serwer należący do atakujących. Dzięki temu możliwe jest przechwycenie całej komunikacji pomiędzy serwerem operatora a telefonem, w tym również haseł dostępu czy historii odwiedzanych stron.
Aby przekonać ofiary do instalacji złośliwych ustawień, opracowane przez naukowców oprogramowanie pozwala na wpisanie dowolnej informacji w polu nadawcy wiadomości. To sprawia, że spreparowana "wiadomość konfiguracyjna" czy "od operatora" wygląda na prawdziwą. Co prawda takie SMS-y konfiguracyjne wymagają podania kodu PINdla wiadomości, ale może on być przesłany wcześniej przez atakująceg SMS-em. Biorąc pod uwagę, że w większości wypadków wynik konfiguracji nie jest widoczny dla użytkownika, zwiększa szanse ataku na ofiarę,
Tego rodzaju próby były przeprowadzane na dużej liczbie telefonów oraz z wykorzystaniem sieci wielu europejskich operatorów. Według twórców tej metody oszustwa, wszystkie próby zakończyły się sukcesem co oznacza, że najprawdopodobniej nie ma na chwilę obecną żadnej metody chroniącej przed tego rodzaju ataku. Autorzy tej metody przekazali już informacje o odkrytym sposobie zainteresowanym stronom i zadeklarowali gotowość do współpracy w celu rozwiązania problemu.
Źródło tekstu: Technology Review, wł
