Piotr Konieczny

konsultant ds. bezpieczeństwa, podróżnik,
hobbystycznie fuksiarz i gadżeciarz
szkot, prawie spadochroniarz...
nienawidzi zielonego.

« wszystkie wpisy |

Czwartek, 05 marca 2009 :: 23:35:16
bugs, GSM, IT, porady, programowanie, security, Techblog

Blip podatny na atak SMS Spoofing

BLIP - Bardzo Lubię Informować Przyjaciół

Jak się okazuje, nasz rodzimy Blip całkiem dobrze kopiuje swój pierwowzór, czyli Twittera ;-) Niestety, Blip kopiuje także luki...

Dziś w Twitterze załatano możliwość podszycia się pod dowolnego użytkownika serwisu i przejęcia jego konta (w Blipie dziura nadal jest). Aby zrobić takie straszne rzeczy, wystarczyło tylko znać numer telefonu, który użytkownik zarejestrował w serwisie - tu świetnie sprawdzą się takie serwisy jak MySpace, czy Facebook (a w przypadku Blipa, Nasza-Klasa i GG dadzą radę ;)

SMS w Blipie i Twiterze

Dzięki zarejestrowaniu swojej komórki w systemie, użytkownik Twittera/Blipa może z niej wysyłać SMS-y na specjalny twitterowy numer. Treść SMS-a trafia wtedy na profil użytkownika. W treści SMS-a można także używać komend, które pozwalały np. dodawać/usuwać przyjaciół, etc. (Blip komend chyba nie wspiera).

Atak SMS Spoofing

Atak polega na spreparowaniu wiadomości SMS. Jako nadawcę (SenderID) należy ustawić numer telefonu atakowanego użytkownika, a następnie przesłać wiadomość na numer dostępowy Twittera.

Spoofing jest o tyle prosty, że w sieci istnieją darmowe bramki, pozwalające robić takie cuda za grosze - a czymże jest nawet 10EUR, jeśli w profilu swojego kumpla z pracy można napisać, że jego idolem jest Rysiu z Klanu ;)

Żarty żartami, ale lukę można też wykorzystać do przesyłania URL-a prowadzącego do strony z malwarem. Dostaną go wszyscy znajomi ofiary i to nie tylko na Twitterze/Blipie, ale także na serwisach takich jak Friendfeed lub Flaker, czy innych socjalnych ustrojstwach, karmionych treściami z konta użytkownika.

Jak się obronić?

Autorzy Blipa zostali powiadomieni o luce. Do czasu jej załatania, sugeruję wyrejestrować swój numer telefonu z serwisu. Jak Marcin i spółka uporają się z błędem, pokażę w nowym wpisie, jak ustawić Sender ID w wiadomości SMS. (Ostrzegam, że jeśli ktoś przed załataniem Blipa zapostuje sposób w komentarzach - bez mrugnięcia komcia wymoderuję ;-)

Kto następny?

Na SMS Spoofing najprawdopodobniej podatne są także inne serwisy, w których można zarejestrować swój telefon, by wykonywać nim jakieś akcje. Znacie takie?

No, i o takich fajnych rzeczach wie się z pierwszej ręki, jak się śledzi moje konto na blipie - można przez RSS ;-)


Zobacz także: (podobne wpisy BETA!):
-- Jak zawiesić Nokie/Symbiana jednym SMS-em?

• Następny post: Atakowanie bankomatów w tę sobotę w Krakowie
• Poprzedni post: Trojan na Mac OS X

 

Chcesz być informowany o kolejnych wpisach na ten temat?
Kanał RSS: kliknij tutaj. Subskrybcja poprzez e-mail: kliknij tutaj.

 

Tagi:

« reszta wpisów | • trackback | ‡ torturuj posta!

Komentarze:

1. coldpeer Czwartek, 05 marca 2009, 23:38:54
 

ciekawe :)

 
2. Piotr Konieczny Czwartek, 05 marca 2009, 23:40:50
 

Dzięki udostępnieniu przez ^bakus swojego numeru telefonu, udało się zapostować zespoofowaną wiadomość także na jego koncie:

http://blip.pl/s/7626385

 
3. sznik Czwartek, 05 marca 2009, 23:44:27
 

Ciekaw jestem jak można walczyć z ułomnością „protokołu”.

 
4. Piotr Konieczny Czwartek, 05 marca 2009, 23:44:58
 

sznik: trzeba dostrzegać plusy - dosłownie i w przenośni ;-)

 
5. sznik Czwartek, 05 marca 2009, 23:45:18
 

I got it. ;)

 
6. wpigulce.net Piątek, 06 marca 2009, 00:20:31
 

Blip podatny na atak SMS Spoofing

Jak się okazuje, nasz rodzimy Blip całkiem dobrze kopiuje swój pierwowzór, czyli Twittera ;-) Niestety, Blip kopiuje także luki...

 
7. Adriano Piątek, 06 marca 2009, 01:07:37
 

Pamiętam że informowałem któregoś administratora Blipa o tym (było ich dwóch wówczas na początku).
Wiadomo kiedy na Twiterze odkryto tą lukę? Bo jeśli nie dawno, to bardzo się zdziwię - tylu ludzi tam siedziało/siedzi i nikt by wcześniej nic nie zauważył...?

 
8. webdevil Piątek, 06 marca 2009, 10:49:07
 

to może teraz nasza-klasa? :>

 
9. Remo Piątek, 06 marca 2009, 12:09:22
 

Zgodnie z obietnicą, pan Piotr winien teraz bez mrugnięcia komciem wymoderować swój własny komentarz nr 4.

 
10. Piotr Konieczny Piątek, 06 marca 2009, 12:18:18
 

Remo: a mnie się jednak wydaje że nie. I to dwa razy - nie powienienem i nie zrozumiałeś ;-)

 
11. Yano Piątek, 06 marca 2009, 17:22:19
 

Flaker chociażby, nasza-klasa z jej wysyłaniem fot przez MMS. W sumie każdy większy serwis społecznościowy ma nasz numer w bazie (o ile podaliśmy) i ma lub będzie mieć możliwość generowania treści przy pomocy SMS/MMS.

 
12. steelman Poniedziałek, 09 marca 2009, 22:57:45
 

IMHO szanowny PK nie powinien był się chwalić tą wiedzą do czasu załatania opisywanej dziury.

Znów miałem dobre przeczucie i nie rejestrowałem telefonu :-P

 
13. Piotr Konieczny Poniedziałek, 09 marca 2009, 23:40:55
 

Póki co, odpowiedzi od kogoś z Blipa ani widu ani słychu...

 
14. omg Poniedziałek, 30 marca 2009, 02:01:38
 

Nie rozumiem, piszesz, że "napiszesz jak zaspoofować nr nadawcy", podczas gdy parę linijek wyżej sam napisałeś i chyba nie jest to dla nikogo tajemnicą. Chyba, że jakieś pikne skróty myślowe, hhihi

 

Dodaj komentarz:

Wyślij pustą wiadomość, aby śledzić komentarze przez bota.
Komentarze są własnością osób komentujących.
Właściciel bloga nie ponosi za nie odpowiedzialności.
Komentarze nie na temat będą usuwane.

Ofiara

Jeśli powyższy wpis przydał Ci się w jakiś sposób,

autorowi :-)

Czytelnicy:

« wszystkie wpisy