Certains réseaux SMS vulnérables à l'attaque

Des failles les réseaux de téléphonie mobile traitent les données de signalisation SMS (service de messages courts) qui pourraient les exposer à toute une série d'attaques.

Lors de la conférence Black Hat à Las Vegas, les chercheurs Zane Lackey et Luis Miras montreront comment ils ont pu pour usurper des messages SMS et MMS (service de messagerie multimédia) et falsifier les données de signalisation qui sous-tendent ces messages.

Aucun chercheur n'a été en mesure de commenter cette histoire, mais dans une description de son discours du jeudi sur le site Web Black Hat, ils disent qu'ils prévoient de lancer des outils de piratage de SMS et démontreront une application basée sur l'iPhone qui peut être utilisée dans plusieurs attaques SMS. "SMS est également l'une des seules surfaces d'attaque de téléphones mobiles qui est activée par défaut et ne nécessite pratiquement aucune intervention de l'utilisateur pour être attaquée", disent-ils dans leur résumé.

[Plus d'informations]

Les chercheurs ont pu envoyer des messages SMS d'un téléphone à un autre qui contenait des informations de configuration qui ne proviendraient normalement que des serveurs du réseau, selon une source proche du discours, qui a parlé sous couvert d'anonymat parce qu'il n'était pas autorisé à prendre la parole à ce sujet. La recherche détaille les failles de sécurité dans la façon dont certains réseaux mobiles communiquent avec les périphériques du réseau. "En gros, ils ont trouvé qu'il y avait un moyen de contourner toute la validation de l'émetteur source," dit la source.

L'outil iPhone, qui fonctionne sur une version jailbreakée de l'appareil, leur permet d'envoyer des SMS avec des données qui devraient normalement seulement être envoyé du réseau de transporteur, la source a dit. "Ils ont trouvé un nouveau vecteur d'attaque par lequel les gens peuvent essayer d'exploiter les téléphones sur la base d'hypothèses non valables faites par les opérateurs de réseau et les opérateurs téléphoniques sur la sécurité de ce canal de communication."

L'attaque fonctionne sur GSM at-il déclaré.

On ne sait pas à quel point une telle attaque par SMS pourrait être dangereuse pour les réseaux mobiles (tels que AT & T et T-Mobile), mais elle ne fonctionne pas sur les réseaux CDMA (Code Division Multiple Access). être, ou exactement ce que les chercheurs ont pu faire avec leurs messages usurpés, mais les transporteurs utilisent SMS pour envoyer la configuration de base aux téléphones. En théorie, un attaquant pourrait utiliser cette technique pour rediriger le navigateur Web d'un téléphone vers un serveur malicieux ou modifier les notifications de la messagerie vocale.

"Nous discuterons d'attaquer les implémentations SMS et MMS de base, ainsi que les fonctionnalités tierces Les SMS écrivent dans leur résumé.

SMS utilise un canal de communication conçu comme un moyen pour les opérateurs de réseau d'envoyer des mises à jour de base entre les téléphones mobiles et le réseau, et ce n'est que plus tard qu'il a évolué

Les serveurs de réseau qui traitent le trafic SMS sont construits par des sociétés telles que Ericsson, Nortel, Lucent et Nokia Siemens.

Les opérateurs de téléphonie mobile contrôlent depuis longtemps le logiciel et dispositifs qui peuvent être utilisés sur leurs réseaux, mais apparemment, ces réseaux ne sont pas aussi étroitement contrôlés qu'on le pensait auparavant. "Ils ne sont pas aussi ouverts qu'Internet, mais il y a certainement beaucoup de mauvaises choses que vous pouvez faire que les gens ne s'attendaient jamais", a déclaré la source. "Il y a beaucoup de choses malveillantes que vous pouvez faire."