Támadhatók a „buta” telefonok is – SMS-ben

Okostelefonok – ma szinte minden mobilkommunikációs hír ezekről a készülékekről szól. Ahogy a telefonok illetve tulajdonosaik adatait veszélyeztető fenyegetésekről. Nem szabad azonban elfeledkezni azokról sem, akik még nem cserélték le kis eszközeiket egy „mindent tudó” példányra, vagy nem is terveznek kilépni a telefonálás-smsezés-ébresztés szentháromságból. Ők sem ringathatják magukat a hamis biztonság illúziójába.

Collin Mulliner, a Berlini Műszaki Egyetem egyik PhD hallgatója pont ezért választotta kutatási témájának az olcsó, kevés tudással felszerelt telefonokat. Társával, Nico Golde-dal rájöttek, hogyan lehet megtámadni ezeket a kommunikációs készülékeket – a felhasználó akarata nélkül leválasztani a hálózatról vagy akár az asztali PC-khez hasonló lefagyást előidézni bennük.

Saját szoftvert fejlesztettek, mellyel olyan SMS üzeneteket lehet a célzott telefonokra küldeni, amik speciális karaktereket tartalmaznak. Ezek feldolgozásakor a telefon egyszerűen lekapcsolódik a mobilszolgáltató hálózatáról, sőt, néha le is fagy a készülék. Ugyan minden egyes telefonmárkához külön-külön megformázott üzenetre van szükség, de Mulliner rájött, hogy az összes nagyobb gyártó telefonja megtámadható a módszerrel. Sikerrel vették fel a kapcsolatot a Nokia, a Sony Ericsson és a Motorola mérnökeivel, emellett a Samsung valamint az LG is érintett az esetben. A diák szerint a vállalatok igen közreműködőnek bizonyultak, a Nokia például szinte azonnal beígért egy javítást készülékeikhez.

SMS-o-Death
A támadást be is mutatta a két berlini hallgató a néhány héttel ezelőtt megrendezett Chaos Communications Congress keretei között. A német fővárosban lezajlott hackerkonferencián tartott SMS-o-Death előadásuk során mindazonáltal nem tették közzé a sikeres támadáshoz szükséges kódot. Azt viszont elárulták, milyen következménye lehet szerintük egy ilyen, az adatokat közvetlenül nem veszélyeztető akciónak. Mulliner vélekedése szerint célzott támadásokkal zsarolhatóvá válnak mind az ügyfelek, mind a szolgáltató, sőt, utóbbi üzletmenetére is csapást mérhet egy nagyobb horderejű támadás.

Sajnos nem beszélhetünk egyszerű javításról, hiába hozzák létre az érintett vállalatok a szükséges frissítéseket. Szemben az okostelefonokkal, a keveset tudó készülékek nem rendelkeznek automatikus update képességgel. Tulajdonosaik figyelmét fel kell hívni arra, hogy csatlakozzanak az Internethez, és onnan szerezzék be a szükséges javítást. Illetve a mobilszolgáltatók is küldhetnek ügyfeleiknek értesítést saját hálózatukon keresztül. Egyes esetekben távolról telepíthetik a frissítést, de akár meg is kérhetik az ügyfeleket a legközelebbi értékesítési pontba való befáradásra. Utóbbi nyilván nehezen járható út, főleg, ha találnak még néhány ilyen, ehhez hasonló hibát.