20:20
2/4/2010

Błędy w komórkach zdarzały się od zawsze. Poniżej małe podsumowanie tego, jak obejść zabezpieczenia niektórych telefonów komórkowych Nokia bazujących na Symbianie. Oby Twój nie był na liście… ;)

SMS-y śmierci

Już od roku znany jest błąd, który za pomocą jednej wiadomości SMS zawiesza telefon Nokia wyposażony w Symbiana. Wszystkie komórki Nokii bazujące na systemie Symbian Series 60 (2.6, 2.8, 30. i 3.1) są podatne na poniższy atak.

Jak sprawdzić wersję Symbiana? Wejdź w Menu, wybierz Tools (Narzędzia) a potem About (O Telefonie). Wynik porównaj z poniższą listą podatnych na atak telefonów (jeśli potrzebujesz bardziej szczegółowych informacji, wklep na klawiaturze kod *#0000# – zobaczysz dokładny opis firmware twojej Nokii)

Aby zawiesić Nokię, wystarczy wysłać na nią SMS-a, wg poniższego formatu:

[adres@email.com][spacja][dowolna treść]

Użyty e-mail powinien być dłuższy niż 32 znaki, a typ SMS-a musi zostać ustawiony na Internet Electronic Mail. Takiego SMS-a można stworzyć ręcznie, zmieniając pole Protocol Identifier na 0x32, lub — łatwiejsza wersja — skorzystać z rozszerzonych opcji wysyłania wiadomości, dostępnych w większości telefonów Nokia. Odkrywca błędu, Tobias z grupy CCC, zaprezentował atak krok po kroku:

Jak widać, telefony Nokia oparte o Symbiana 2.6 i 3.0 zablokują się po otrzymaniu jedenej wiadomości, a telefonom z Symbianem w wersji 2.8 i 3.1 potrzeba ich aż jedenastu. Błąd leży w funkcji parsującej pierwszy wyraz SMS-a, który zawiera znak @. Jeśli jest on dłuższy niż 32 znaki, Nokia nie jest w stanie wyświetlić go polu nadawcy i przestaje pokazywać jakiekolwiek powiadomienia związane z obsługą SMS-ów.

Skutki ataku?

Telefony oparte o Symbiana 2.8 i 3.1 w trakcie ataku nie są w stanie otrzymywać żadnych wiadomości, a po ataku otrzymywanie wiadomości może być ograniczone aż do zresetowania do ustawień fabrycznych (fałszywa informacja o braku miejsca w skrzynce odbiorczej, której nie da się opróżnić).

Telefony oparte o Symbiana 2.6 i 3.0 nie będą w stanie odebrać żadnej wiadomości SMS/MMS, dopóki nie zostaną przywrócone ustawienia fabryczne. Aby zabezpieczyć się przed atakiem, przeczytaj te instrukcje.

Symbian domyslnie nie sprawdza certyfikatów

Okazuje się, że w domyślnej konfiguracji, telefony bazujące na Symbianie S60 nie mają włączonej opcji sprawdzania ważności certyfikatów. Na przykładzie robaka Merogo SMS, firma F-Secure tłumaczy, jakie zagrożenia z tego wynikają.

Warto jednak spojrzeć na sprawę i z drugiej strony — gdyby ta opcja była włączona fabrycznie, miliony telefonów nabijałyby “dodatkowe” koszty swoim właścicielom. Jeśli jednak jesteś w tej szczęśliwej sytuacji, że posiadasz w swojej taryfie pakiety internetowe, sugerujemy włączyć tę opcję:

Obchodzenie blokady klawiatury

Kolejną klasą błędów dotyczących telefonów komórkowych jest obchodzenie uwierzytelnienia, czyli popularnej blokady klawiszy. RicoElectrico podesłał nam linka do ciekawej dyskusji, z której wynika, że telefony pracujące w oparciu o system operacyjny Symbian S40v3 mają ciekawy błąd.

fot. Kamilloi

W telefonie z zablokowaną kawiaturą należy wcisnąć i trzymać przycisk wyłącznika (na górze), a następnie nie puszczając wyłącznika wcisnąć i trzymać przycisk zmniejszenia głośności (z boku). Po zniknięciu monitu o blokadzie klawiszy, puścić oba przyciski, a następnie znów wcisnąć przycisk zmniejszenia głośności i przytrzymać przez chwilę

Dzięki powyższej instrukcji, atakujący ma możliwość głosowego wybrania połączenia oraz dostęp do następujących funkcji telefonu:

  • PROFILE
  • RADIO
  • IRDA
  • DYKTAFON
  • REJESTR
  • ALARMY AUDIO
  • INTERNET
  • WIADOMOŚCI

Jak pisze RicoElectrico, błąd można wykorzystać do włączenia trybu samolotowego lub odczytania listy ostatnich połączeń. Przyda się, kiedy chcecie poznać numery na które ostatnio dzwoniła ofiara lub nie chcecie, aby ktoś się z nią kontaktował telefonicznie.

Ominięcie blokady klawiatury to popularny błąd, który dotknął także Androida i telefon Droid od Motoroli. Żeby nie było, że tylko Nokie są dziurawe, jutro opublikujemy przegląd błędów w iPhone ;-)

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

4 komentarzy

Dodaj komentarz
  1. Czy to jest stary artykuł który jakoś wylądał na stronie głównej z rokiem 2019?

    “Już od roku znany jest błąd” – 11 lat
    “przeczytaj te instrukcje” – link nie działa, prowadzi na adres 0.0.7.217

    • Też mam takie podejrzenia. Nie wierzę żeby niebezpiecznik nie wspomniał, że właściwie to nie powinno się używać dawno porzuconych systemów operacyjnych, a już tym bardziej na urządzeniach podłączonych do sieci

  2. chyba wam coś się lata w kalendarzu przestawiły.
    nikt juz nie ma telefonów z symbianem…

  3. W 2019 mam Nokie z Symbianem. Co robic? Jak żyć?

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: