© 2004 - 2024 Все права защищены.
В телефонах обнаружена уязвимость на уровне SIM-карты
21 декабря 2011
12:42
Как сообщает британское издание The Register, уязвимость касается системы обмена сообщениями на приложениях, которые устанавливаются операторами на SIM-карты. Эта система имеет название SIM Application Toolkits. Данные приложения используются для таких функций как вывод на экран баланса на счете, работы с голосовой почтой или совершения электронных микроплатежей.
Эти приложения обмениваются с инфраструктурой оператора особым образом отформатированными SMS-сообщениями с цифровой подписью. Эти сообщения обрабатываются телефоном, не попадая в папку входящих и не подавая сигнала для пользователей. В крайнем случае телефон при получении такого сообщения выводится из спящего режима. При этом используется надежная технология шифрования данных, вот только проблема в том, что если какая-либо команда не может быть выполнена, то оператору отсылается сообщение об ошибке. Это открывает для хакеров две возможности для совершения вредоносных действий, передает Infox.ru.
В первом случае хакер может использовать данный сервис для подмены операторского номера на номер для платных SMS, в результате деньги со счета жертвы будут переводиться на счет злоумышленника, имеющего субконтракт с контент-провайдерами. При этом злоумышленники не могут контролировать непосредственный процесс отправки служебных сообщений, однако это не умаляет опасности данных действий. Во втором случае в ответ на запрос оператора отправляются преднамеренно поврежденные сообщения, которые интерпретируются системой как недоставленные, запрос отправляется снова, и на него опять приходит «поврежденный» ответ. Процесс зацикливается, и обычные SMS-сообщения на телефон уже не проходят. Получается что-то вроде DoS-атаки.
Уязвимость была продемонстрирована специалистом по имени Богдан Алеку (Bogdan Alecu) на конференции по вопросам безопасности DeepSec, которая проводилась в Вене (Австрия). Указанные методы взлома работают на устройствах производства Samsung, Nokia, HTC, RIM и Apple. Защититься от уязвимость можно только на телефонах Nokia — меню этих устройств позволяет устанавливать подтверждения перед отправкой служебных сообщений. Однако по умолчанию эта опция отключена.
Эти приложения обмениваются с инфраструктурой оператора особым образом отформатированными SMS-сообщениями с цифровой подписью. Эти сообщения обрабатываются телефоном, не попадая в папку входящих и не подавая сигнала для пользователей. В крайнем случае телефон при получении такого сообщения выводится из спящего режима. При этом используется надежная технология шифрования данных, вот только проблема в том, что если какая-либо команда не может быть выполнена, то оператору отсылается сообщение об ошибке. Это открывает для хакеров две возможности для совершения вредоносных действий, передает Infox.ru.
В первом случае хакер может использовать данный сервис для подмены операторского номера на номер для платных SMS, в результате деньги со счета жертвы будут переводиться на счет злоумышленника, имеющего субконтракт с контент-провайдерами. При этом злоумышленники не могут контролировать непосредственный процесс отправки служебных сообщений, однако это не умаляет опасности данных действий. Во втором случае в ответ на запрос оператора отправляются преднамеренно поврежденные сообщения, которые интерпретируются системой как недоставленные, запрос отправляется снова, и на него опять приходит «поврежденный» ответ. Процесс зацикливается, и обычные SMS-сообщения на телефон уже не проходят. Получается что-то вроде DoS-атаки.
Уязвимость была продемонстрирована специалистом по имени Богдан Алеку (Bogdan Alecu) на конференции по вопросам безопасности DeepSec, которая проводилась в Вене (Австрия). Указанные методы взлома работают на устройствах производства Samsung, Nokia, HTC, RIM и Apple. Защититься от уязвимость можно только на телефонах Nokia — меню этих устройств позволяет устанавливать подтверждения перед отправкой служебных сообщений. Однако по умолчанию эта опция отключена.
Следите за нами в Telegram
t.me/vesti_az
Следите за нами в Instagram
Следите за нами в TikTok
Следите за нами в Facebook
Следите за нами в X
ДРУГИЕ НОВОСТИ РАЗДЕЛА
17:54
23 июня 2026
Китай впервые с 2017 года обошел США по мощности суперкомпьютеров
12:26
23 июня 2026
Apple добавила в iOS 27 секретную функцию
19:43
22 июня 2026
Instagram может влиять на способность узнавать собственное лицо
19:18
22 июня 2026
Современный ИИ становится все менее понятным человеку
15:05
22 июня 2026
В сеть попало первое изображение iPhone 18-ФОТО
19:23
19 июня 2026
В процессорах Apple обнаружили неустранимую аппаратную уязвимость
24 июня 2026
