10:49
16/4/2018

Routery mobilne Alcatel Link Zone (OneTouch MW40) były podatne na atak pozwalający na wysyłanie niechcianych SMS-ów i kodów USSD. Dziurę odkrył i opisał nam Michał Korus, a my zgłosiliśmy sprawę Alcatelowi i przypilnowaliśmy by ją załatano. Pomógł nam w tym operator Play.

Dziurawy router mobilny == wysokie rachunki

Zanim opiszemy atak na mobilny router Alcatela, chcieliśmy zwrócić uwagę, że więcej modemów mobilnych innych producentów także może być podatnych na tego typu ataki, w wyniku których ktoś może zdalnie wysłać z modemu SMS lub kod USSD i zdjąć blokadę Premium SMS-ów, a następnie nabijać abonentowi rachunki.

W listopadzie ubiegłego roku opisywaliśmy przypadek Czytelnika, któremu ktoś nabijał rachunek mimo blokad Premium SMS-ów. Czytelnik posiadał router TP-Link TL-WR1043ND. Sprawie przyjrzał się operator (Plus) i doszedł do wniosku, że albo na komputerze użytkownika był malware, albo ktoś uzyskał fizyczny/zdalny do urządzenia i wysyłał z niego SMS-y znoszące blokady Premium Rate. Teraz wiemy, że wektor ataku mógł być taki jak w przypadku routera Alcatel, który jest bohaterem tego artykułu.

Zauważmy też, że podobny problem dotyczył również klientów T-Mobile, gdzie przynajmniej jeden ze sprzedawanych przez operatora modeli routerów był podatny na atak polegający na wysyłaniu SMSów Premium z konta użytkownika. Nie wiemy z jakim routerem był problem w T-Mobile — operator nie chciał nam ujawnić jego nazwy.

Gdzie był problem?

O luce w oprogramowaniu routerów Alcatel Link Zone (OneTouch MW40) powiadomił nas Michał Korus, badacz bezpieczeństwa, uczestnik naszych szkoleń dotyczących testów penetracyjnych i nasz Czytelnik. Oto co zauważył.

System logowania dostępny na routerze Alcatel LinkZone (i nie tylko) służy tak naprawdę tylko i wyłącznie do odblokowania interfejsu użytkownika. Nie są tworzone żadne cookie, nie jest przekazywany żaden klucz który służyłby późniejszej autoryzacji. Będąc niezalogowanym jestem więc w stanie odczytać wszelkie dane dostępne na urządzeniu: SMSy, listę kontaktów. Oczywiście ten przypadek jest skrajny bo musiałbym być podpięty do danego urządzenia i wysłać do niego odpowiednie requesty. Odczyt danych przez wrogą stronę internetową nie powiedzie się z uwagi na CORS. Jest jednak drugi przypadek.
Urządzenie pozwala również na wysyłkę SMS’ów a w tym przypadku nie potrzebuję już zwrotnej informacji. Co więcej dane SMS’y mogę później usunąć, aby zatrzeć ślady. Mogę również skorzystać z kodów USSD, aby włączyć obsługę kodów premium jeśli takowe są zablokowane.

Michał zauważył też, że większość operacji wykonywana jest po API urządzenia (http://192.168.8.1/jrd/webapi?api=…) toteż sama ochrona w postaci cookie sesyjnego może być niewystarczająca (z uwagi na ataki typu CSRF).

Producent musiałby dodatkowo w wywołaniach API umieszczać (jednorazowy?) klucz i go weryfikować. Raczej nie ma tu prostej ochrony na ten atak. Klient webowy dostępny na urządzeniu to GoAhead_Webs/2.5.0 (swoją drogą mogliby ten nagłówek ukryć). Wersja oprogramowania: MW40_F2_02.00_02 czyli najnowsza.

Michał przyjrzał się routerowi pochodzącemu z dystrybucji operatora Play, ale ten sam problem występował na urządzeniach od innych operatorów.

Jeśli chcielibyście zgłębić temat podobnych ataków to sporo informacji znajdziecie na blogu Jamesa Hemmingsa, który w sierpniu 2017 r. opisał podobny problem. Kilka luk umożliwiało potencjalnemu atakującemu reset urządzenia, zmianę jego konfiguracji, wysłanie SMS-ów czy forwardowanie SMS-ów. Takiego ataku można dokonać np. tworząc stronę internetową, która skłoni użytkownika-ofiarę do prostej interakcji.

Demonstracja ataku

Michał Korus zauważył, że te same ataki dało się przeprowadzić na wspomnianych Alcatelach. Miał rację. Stworzył też prostą stronę umożliwiającą przetestowanie podatności — formularz ze skryptem umożliwiającym wysłanie wiadomości SMS.

Później ta strona została rozszerzona o różne rodzaje ataków, z możliwością zmiany adresu IP routera. Znajdziecie ją pod adresem http://alcatel.kormichu.com/. Jeśli będziecie przeprowadzać testy na swoim urządzeniu, zwróćcie uwagę na IP routera. Urządzenia w sieci Play mają stronę logowania pod adresem 192.168.8.1, ale np. do urządzeń w sieci Aero2 logowało się przez adres 192.168.1.1.

Zgłaszamy lukę Alcatelowi

Michał zgłosił sprawę nam bo sądził, że pojedynczy badacz może mieć problem z poruszeniem Alcatela. Obawy okazały się uzasadnione. W ostatnim dniu listopada 2017 roku zwróciliśmy się do rzeczniczki Alcatela na Europę pani Sigrid Fandrey. Opisaliśmy problem, dorzucając link do strony umożliwiającej przetestowanie podatności. Sigrid Fandrey odpisała nam jeszcze tego samego dnia, że “niebawem” wróci do nas z odpowiedzią.

Czekaliśmy i czekaliśmy. W grudniu postanowiliśmy przypomnieć o sprawie, a na początku roku zaatakowaliśmy z innej strony. Powiadomiliśmy Play i przekazaliśmy sprawę osobie odpowiedzialnej za bezpieczeństwo informatyczne w tej firmie. Wkrótce dostaliśmy zapewnienie, że ludzie z Play “nacisnęli na Alcatel” i otrzymali obietnicę załatwienia sprawy.

Później skontaktował się z nami ktoś zbliżony do Alcatela. Dowiedzieliśmy się, że sprawa luki w oprogramowaniu MW40 trafiła do działu R&D Alcatela “dość okrężną drogą”. Mimo to rzekomo już w pierwszym tygodniu stycznia było gotowe oprogramowanie z poprawką dla urządzeń open market (możliwe więc, że rzeczniczka przekazała to komu trzeba). Nasz informator nie powiedział nam co dokładnie zrobiono. Przyznał jednak, że przed zastosowaniem łatki możliwe było wysyłanie SMS-ów z użyciem strony testowej stworzonej przez Michała. Po wgraniu patcha ta dziura zniknęła. Dowiedzieliśmy się, że przygotowano łatkę dla Play i “lada moment” miały być gotowe wersje także dla T-Mobile i Orange.

Później jeszcze raz skontaktował się z nami Play i otrzymaliśmy router do testów. Mogliśmy potwierdzić, że na załatanym oprogramowaniu nie da się ani wysłać SMS-ów, ani kodów USSD. Nie udało się również wykasować SMS-ów czy ustawić przekierowań.

Serdecznie dziękujemy ludziom z Play za bardzo profesjonalną i sprawną współpracę. Szkoda, że Alcatel nie przedstawił nam żadnych wyjaśnień, ale przynajmniej załatano dziurę.

Mam Alcatel Link Zone. Co robić? Jak żyć?

Na stronie alcatel.kormichu.com dostępne jest narzędzie umożliwiające sprawdzenie podatności Twojego routera. Jeśli wysłałeś SMS-a lub kod USSD z poziomu tej strony, najwyraźniej masz problem. Koniecznie zaktualizuj oprogramowanie swojego routera i najlepiej powtórz test.

Ile trwa usuwanie dziury i wypuszczenie łatek?

Na koniec przyjrzymy się, ile czasu w takim modelu (producent sprzętu -> różni operatorzy -> użytkownicy końcowi) trwa usuwanie, jakby nie patrzeć, poważnego błędu. Pół roku. Popatrzmy na terminy.

Pierwsze zgłoszenie do producenta od nas to listopad 2017. Nasze źródło zbliżone do Alcatela dopiero na początku lutego informowało nas, że urządzenia open market mają dostępne łatki, a operatorzy mieli wdrożyć poprawki lada chwila. Nieco później ustaliliśmy, że Orange otrzymał łatki do testów, ale testy wykazały problemy i czas łatania się wydłużył. Dopiero 26 marca dostaliśmy wiadomość, że urządzenia Orange były po testach, a “proces akceptacyjny po stronie Alcatel także został już zakończony”. W tym samym czasie od pracowników Play dziś dowiedzieliśmy się, że poprawione oprogramowanie jest dostępne dla klientów poprzez FOTA (wysyłanie aktualizacji firmware na urządzenia). Michał potwierdził, że aktualizacja na urządzenia Play wyszła w poniedziałek (9 kwietnia). Jest tylko jeden problem — aktualizacja nie instaluje się automatycznie. Trzeba ją ręcznie “wyklikać”, co wszystkim wam polecamy.

Przeczytaj także:

32 komentarzy

Dodaj komentarz
  1. chciałbym spytać czy na szkoleniach z testów penetracyjnych na które uczęszczał pan Michał również uczycie podobnych rzeczy, tzn exploitowanie routerów. Czy jest to akurat coś co pan Michał robił we własnym zakresie?

    • Trochę we własnym zakresie ;) Z tego co pamiętam ze szkoleniach (a byłem na 3) które prowadzi niebezpiecznik nie było przykładów pokazanych bezpośrednio na fizycznych urządzeniach typu router. Zwykle były one prowadzone na specjalnie przygotowanych maszynach wirtualnych podatnych na określony rodzaj ataku. Podatności które znalazłem tak naprawdę dotyczyły zwykłej aplikacji webowej i idealnie wpasowują się w to szkolenia (uwaga reklama :)) z ataku i ochrony webaplikacji prowadzone przez niebezpiecznika. Całkiem niezłe jest też szkolenie z bezpieczeństwa sieci komputerowych gdzie jest nieco więcej automatyki. Samemu jednak też można rozgryźć temat tylko wymaga to trochę czasu. Na szkoleniach zwykle masz wszystko w pigułce. Jeśli interesuje Cie tematyka security to polecam pobawić się projektem http://www.dvwa.co.uk , zadaniami typu “crack me”, CTF, obejrzeć na yt materiały z konferencji np: “IoT hacking w praktyce” czy przejrzeć całe kanały poświęcone tej tematyce np LiveOverflow

    • z tego co widzę to wystarczy prosta wiedza o HTTP i trochę sprytu

  2. Po co wogóle coś takiego jak SMS premium istnieje? Przecież to służy tylko do wałków.

    • A po co są numery 0700 to to samo, jest popyt jest podaż

    • Wałek czy nie, ale zysk dla operatora tez jest.

  3. Jak to możliwe, że zabezpieczenie przed wysyłką SMSów (premium) można zdjąć poprzez wysłanie SMS? Przecież powinien po stronie operatora być wymóg zastosowania innego kanału uwierzytelnienia przed zdjęciem takiej blokady.

    • Po co i dlaczego. SMS Premium to spory zysk dla operatora.

  4. Mam router Alcatel Link Zone ale nie korzystam z niego ponieważ po wprowadzeniu karty SIM okazał się nieprzydatny. Wcześniej jednak wpisałam kod USSD do telefonu .Jestem użytkownikiem T-MOBILE i w miesiącu marcu naliczono mi dodatkowe koszty . Proszę o wyjaśnienie sprawy.Pozddrawiam Danuta Puk.

    • O k…czę

  5. Ej, ale TL-WR1043ND to zwykły router ethernet/802.11 i nie ma żadnych funkcji SIM.

    • Czyli ‘komputer’ i modem. A w modemie sa AT kody. A jak sa to umozliwiaja rozne ciekawe rzeczy (patrz odcinek “Mediamarket” i ‘jak zadzwonic na karaiby’)

    • ruter TL-WR1043ND jest jednym z lepszych modeli TP-Link na którym często nadrywają oryginalne (ze względu na większą pamięć flash) oprogramowanie okrojonym Linuxem (openwrt) – tam są już pluginy do wysyłania/odbierania/kasowania SMS i inne pomocne bajery

    • Ale on nie ma modemu (oprócz tego do Wi-Fi, zwanego kartą sieciową)! Stoi taki u mnie i jakoś nie chce gadać po AT…
      Czy ktoś po prostu miał wpięty modem USB w takiego TP-Linka?

    • Ale na nich mozna wgrac linuxa i rozszerzyć ich możliwości. Sam mam taki router i wgrany gargoyle, do tego modem huawei

  6. Wszystkie kody USSD służące do zakładania i zdejmowania blokad powinny wymagać hasła abonenckiego lub innego poufnego kodu. Na przykład zablokowanie lub odblokowanie połączeń telefonicznych (wszystkich wychodzących, wych. międzynarodowych, wych. w roamingu z wyjątkiem do własnego kraju, wszystkich przychodzących i przychodzących w roamingu) wymaga podania 4-cyfrowego kodu. Dlaczego SMS-y Premium można odblokować bez żadnego uwierzytelnienia? Gdzież konsekwencja???

  7. Narzędzie umożliwiające sprawdzenie podatności – HTTPS brak, hostowane w Home. Hmmm.

    • 1) strona nie jest hostowana w Home ;)
      2) specjalnie nie ma HTTPS na tej subdomenie bo by przeglądarka krzyczała przy komunikacji z routerem

    • Polecam Firefoksa z wtyczką pt. Shodan.

    • LOL. Monter nie próbuj udawać że się znasz. Prosta stronka która ma coś wysyłać i nagle się zachciało https i jeszcze wielkie mi halo bo zwykła stronka htmlowa stoi na home.pl (i co z tego?)

      Jak jesteś taki mondry to powiedz mi po co ci tam HTTPS? Aby zaszyfrować treść prostego HTMLa? Bo jeśli myślisz że zaszyfrujesz w ten sposób SMSy idące do twojego urządzenia to zdecydowanie się ośmieszasz

  8. Kuriozalne jest to, ze blokada smspremium wymaga(przewaznie) kontaktu z infolinia lub salonem operatora a samo odblokowanie blokady wystarczy zwykly sms ktory moze zrobic nawet ktos kto tylko na chwile dorwie sie do nieswojego telefonu(np. na imprezie) i moze rowniez od razu nas zapisac do jakichs platnych uslug. Pamietam jak zauwazylem u mamy ze od ponad roku codziennie placi za jakas usluge ktorej ona nie zamawiala. Myslala, ze to jakas codzienna reklama. I zeby wylaczyc ta niechciana usluge smspremium nie bylo wcale tak latwo. Nawet pracownik salonu T-mobile dlugo sie meczyl aby to wylaczyc.

    • Dodam jeszcze, ze na slowa, ze z powodu tego oszustwa przeniesiemy numer do innego operatora. Pracownik salonu rozbrajajaco powiedzial, ze “u innych operatorow jest dokladnie to samo”. Czyli wszyscy operatorzy zgadzaja sie na przekrety z smsami premium, bo na tym niezle zarabiaja. A klientow i ich problemy maja w nosie.

  9. Mam ten router od roku. Faktycznie, ze dwa tygodnie temu dostałem aktualizację firmware’u. Obecnie na wersji MW40_FC_02.00_03 podatności sprawdzone za pomocą strony nie występują. Dzięki.

    • Polecam się na przyszłość :)

  10. A czy router Alcatel Y901 też jest podatny na taki atak? (Play także miał (ma?) taki sprzęt w ofercie).

  11. Czy przeniesienie unieważnia aktualne subskrypcje premium, czy przechodzą one za numerem telefonu?

  12. “Serdecznie dziękujemy ludziom z Play za bardzo profesjonalną i sprawną współpracę. Szkoda, że Alcatel nie przedstawił nam żadnych wyjaśnień, ale przynajmniej załatano dziurę.”

    Szkoda, że Play nie podchodzi w ten sposób do tematu aktualizacji dla telefonów które sprzedają. Od roku czekam aż Play udostępni choćby jakieś łatki na mój telefon z androidem 6.0.1 gdzie ostatnia łatka jest z 1 listopada 2016 roku. O dziwo, na mój telefon jest już android 7.0 no ale Play, jako jedyny operator w Polsce ma gdzieś bezpieczeństwo swoich abonentów.

    • Miało być “O dziwo, na mój telefon jest już android 7.0 no ale Play, jako jedyny operator w Polsce ma gdzieś bezpieczeństwo swoich abonentów i ani łatek do 6.x ani tym bardziej aktualizacji do 7.x nie udostępnia choć pozostali operatorzy już to zrobili w zeszłym roku”

    • Tak jest u operatorów, zainstaluj sobie czystego androida bez operatorowych śmieci i nie narzekaj

  13. Mam ten router od ponad roku i nie z T-Mobile, ani z Play. Wersja firmware MW40_JC_02.00_02 – wg WebUI routera najnowsza, czyli zaktualizować się nie da, ale SMS byłem w stanie wysłać z podanej stronki. Co robić? Jak żyć?

  14. Alcatele wogule mają zaszyte backdoory, francuzi już o to dbają. kidyś miałem Y800 i też był dziurawy

  15. ja router alcatel mam zaktualizowany do niby najnowszej wersji MW40_FC_02.00_03 a mimo to bierze mi kase z konta i co teraz mam zrobiC ?? :/

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.