20:49
3/11/2012

Okazuje się, że każda aplikacja zainstalowana na Androidzie może fałszować SMS-y. Na szczęście chodzi o wiadomości przychodzące, więc problem nie jest tragiczny w skutkach…

Android – spoofing SMS

Podatność jest możliwa do wykorzystania dzięki udostępnieniu SmsReceiverService poprzez com.android.mms bez żadnych restrykcji. Dzięki temu każda aplikacja może to wykorzystać do przesłania modułowi SMS dowolnej treści. Thomas Cannon stworzył przykładową aplikację o nazwie SMSspoofer — APK można pobrać stąd.

Efekt? Mamy wrażenie, że otrzymaliśmy SMS-a, a w rzeczywistości wiadomość tekstowa nie pochodzi od wyświetlonego nadawcy, a od jednej z aplikacji zainstalowanej na naszym telefonie.

SMSspoofer - Android

SMSspoofer – Android

Złośliwa aplikacja wykorzystująca socjotechnikę, może więc próbować skłonić użytkownika do podjęcia jakiejś akcji, bazując na przekonaniu użytkowników, że wiadomości SMS nie da się “podrobić”. Jeśli aplikacji uda się uzyskać dostęp do np. książki kontaktowej w telefonie i podszyć się pod jeden z numerów naszych znajomych, atak może być bardzo wiarygodny.

P.S. Spoofing SMS, czyli wysyłanie fałszywych SMS-ów przy pomocy odpowiednich bramek internetowych opisywaliśmy w tym artykule.


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

22 komentarzy

Dodaj komentarz
  1. Norma rzecz skoro Android jest open source to każdy ma dostęp do bazy SMSów(jak poprosi u uprawnienia), by można pisać np. alternatywne klienty SMSów np. GO SMS Pro.
    Bodajże SMSoid ma pozytywne zastosowanie tego. Wysyła SMSy przez bramkę, a potem zapisuje w wysłanych jako normalne, więc nie ma się pomieszanych wiadomości i nie gubią się.

    • Bardziej zainteresowałbym redakcje w kierunku aplikacji Fake Caller ID, która są tak na prawdę SIP i pozwalają dzwonić z dowolnego numeru, ale ich obsługa jest banalna. Zakupy przez Google Play. Była/jest jedna taka aplikacja dostępna w internecie. Po tym jak polacy ją złamali (odnawianie darmowych kredytów przez spoof IMEI) zablokowała dzwonienie do Polski.

    • Nic w tym normalnego. Czytaj kluczowe “*każda* aplikacja” – problem właśnie w tym, że *każda* – dostęp do SMS to powinien być i owszem np. dla takich aplikacji o których wspominasz ale to powinno być jako oddzielna flaga uprawnień, a nie tak że każda aplikacja…

      http://developer.android.com/reference/android/Manifest.permission.html

    • Nie wiem co tu ma otwartość Androida do rzeczy… O_o

  2. W appstore jest i.SMS od ruskich. Efekt spoofowania wpisany ma nawet w opis.

  3. No przepraszam, ale jak szanowny redaktor sobie wyobraża system, gdzie aplikacje nie mają dostępu do smsów itp?
    Android to taki stwór, ze wszystko mozna podmienić, zrobić własnę. Nie podoba się standartowy GUI? Możesz zmienic. I to jest cudowne

  4. Witam,

    Zainteresowal mnie art bo malem dosc dziwny przypadek z moim tel (android)
    Wlaczylem pisanie sms a tam byla gotowa wiadomosc o tresci tak na jakis numer 60 cos tam cos tam … Nie wiem skad takie cos sie pojawilo. Może to byc jakas appka?

  5. Rzeczywiście dziala, pod warunkiem, że w treści nie będzie “ogonków”, inaczej wiesza się aplikacja Wiadomości (com.android.mms).

  6. u mnie na Xperii Play nic się nie dzieje po wciśnięciu Send :)

  7. Już dawno sprawdzając czy na androida są jakieś “prawdziwe” spoofery widziałem takie aplikacje. Dziwne, że dopiero teraz ktoś robi z tego “problem”.

    • Widocznie wszyscy inni są mniej bystrzy i zauważyli dopiero teraz. Mogłeś dać znać wcześniej.

  8. @Piotrze, a czy nie jest tak, że osoba przed instalacją oprogramowania jest informowana do jakich zasobów aplikacja będzie miała dostęp i może po prostu jej nie instalować?

  9. W sporo ławiejszy sposób – możemy wygenerować dużo większą liczbę smsmów, ba nawet np. w celu uwiarygodnienia jakiejś “wersji” zrobić sobie historię korespondencji. Sms backup and restore – exportuje i importuje wiadomości sms z XML’a, wystarczy go wyedytować/przygotować.

  10. U mnie na Live With Walkman również nic się nie dzieje.

  11. Można wysyłać w treści SMSa kod: *2767*3855# Telefon ładnie podświetli, wtedy tylko ciekawski click i … ugotowany ]:->

    * pod warunkiem braku przedefiniowania domyślnego programu do obsługi kodów USSD

  12. Właśnie o to chodzi, że jest tak w wypadku wszystkich zasobów poza tym. KAŻDA aplikacja ma do tego dostęp, nie ma tego wyszczególnionego w uprawnieniach.

  13. “więc problem nie jest tragiczny w skutkach…”

    Może nie tragiczny ale bardzo niebezpieczny, wystarczy sobie połączyć Zeus + taki spoofing (nawiasem mówiąc już kawałek czasu temu powstały takie kombinacje).

  14. Na SGSII z ICS nie działa, wywala błąd aplikacji wiadomości.Takich podatności jest sporo.

  15. Galaxy Note II, 4.1.1, Go SMS Pro
    Nic się nie dzieje po naciśnięciu Send, nie pojawia się nigdzie żadna wiadomość.

  16. Z tego co zauważyłem (w komentarzach w sklepie Google Play) wiele aplikacji już wysyła takie smsy ;)

  17. U mnie działa.

Odpowiadasz na komentarz hacking

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: