3/11/2012
Okazuje się, że każda aplikacja zainstalowana na Androidzie może fałszować SMS-y. Na szczęście chodzi o wiadomości przychodzące, więc problem nie jest tragiczny w skutkach…
Android – spoofing SMS
Podatność jest możliwa do wykorzystania dzięki udostępnieniu SmsReceiverService poprzez com.android.mms bez żadnych restrykcji. Dzięki temu każda aplikacja może to wykorzystać do przesłania modułowi SMS dowolnej treści. Thomas Cannon stworzył przykładową aplikację o nazwie SMSspoofer — APK można pobrać stąd.
Efekt? Mamy wrażenie, że otrzymaliśmy SMS-a, a w rzeczywistości wiadomość tekstowa nie pochodzi od wyświetlonego nadawcy, a od jednej z aplikacji zainstalowanej na naszym telefonie.
Złośliwa aplikacja wykorzystująca socjotechnikę, może więc próbować skłonić użytkownika do podjęcia jakiejś akcji, bazując na przekonaniu użytkowników, że wiadomości SMS nie da się “podrobić”. Jeśli aplikacji uda się uzyskać dostęp do np. książki kontaktowej w telefonie i podszyć się pod jeden z numerów naszych znajomych, atak może być bardzo wiarygodny.
P.S. Spoofing SMS, czyli wysyłanie fałszywych SMS-ów przy pomocy odpowiednich bramek internetowych opisywaliśmy w tym artykule.
Norma rzecz skoro Android jest open source to każdy ma dostęp do bazy SMSów(jak poprosi u uprawnienia), by można pisać np. alternatywne klienty SMSów np. GO SMS Pro.
Bodajże SMSoid ma pozytywne zastosowanie tego. Wysyła SMSy przez bramkę, a potem zapisuje w wysłanych jako normalne, więc nie ma się pomieszanych wiadomości i nie gubią się.
Bardziej zainteresowałbym redakcje w kierunku aplikacji Fake Caller ID, która są tak na prawdę SIP i pozwalają dzwonić z dowolnego numeru, ale ich obsługa jest banalna. Zakupy przez Google Play. Była/jest jedna taka aplikacja dostępna w internecie. Po tym jak polacy ją złamali (odnawianie darmowych kredytów przez spoof IMEI) zablokowała dzwonienie do Polski.
Nic w tym normalnego. Czytaj kluczowe “*każda* aplikacja” – problem właśnie w tym, że *każda* – dostęp do SMS to powinien być i owszem np. dla takich aplikacji o których wspominasz ale to powinno być jako oddzielna flaga uprawnień, a nie tak że każda aplikacja…
http://developer.android.com/reference/android/Manifest.permission.html
Nie wiem co tu ma otwartość Androida do rzeczy… O_o
W appstore jest i.SMS od ruskich. Efekt spoofowania wpisany ma nawet w opis.
No przepraszam, ale jak szanowny redaktor sobie wyobraża system, gdzie aplikacje nie mają dostępu do smsów itp?
Android to taki stwór, ze wszystko mozna podmienić, zrobić własnę. Nie podoba się standartowy GUI? Możesz zmienic. I to jest cudowne
Wyobraża sobie tak, że dostęp do tego typu interfejsu powinien być w jakiś sposób limitowany (uprawnienia?). I mam wrażenie, że tak samo wyobrażają sobie to developerzy Androida, gdyż zakodowanie w/w programu wymaga kilku sztuczek: http://blog.dev001.net/post/14085892020/android-generate-incoming-sms-from-within-your-app
Witam,
Zainteresowal mnie art bo malem dosc dziwny przypadek z moim tel (android)
Wlaczylem pisanie sms a tam byla gotowa wiadomosc o tresci tak na jakis numer 60 cos tam cos tam … Nie wiem skad takie cos sie pojawilo. Może to byc jakas appka?
Rzeczywiście dziala, pod warunkiem, że w treści nie będzie “ogonków”, inaczej wiesza się aplikacja Wiadomości (com.android.mms).
u mnie na Xperii Play nic się nie dzieje po wciśnięciu Send :)
Już dawno sprawdzając czy na androida są jakieś “prawdziwe” spoofery widziałem takie aplikacje. Dziwne, że dopiero teraz ktoś robi z tego “problem”.
Widocznie wszyscy inni są mniej bystrzy i zauważyli dopiero teraz. Mogłeś dać znać wcześniej.
@Piotrze, a czy nie jest tak, że osoba przed instalacją oprogramowania jest informowana do jakich zasobów aplikacja będzie miała dostęp i może po prostu jej nie instalować?
W sporo ławiejszy sposób – możemy wygenerować dużo większą liczbę smsmów, ba nawet np. w celu uwiarygodnienia jakiejś “wersji” zrobić sobie historię korespondencji. Sms backup and restore – exportuje i importuje wiadomości sms z XML’a, wystarczy go wyedytować/przygotować.
U mnie na Live With Walkman również nic się nie dzieje.
Można wysyłać w treści SMSa kod: *2767*3855# Telefon ładnie podświetli, wtedy tylko ciekawski click i … ugotowany ]:->
* pod warunkiem braku przedefiniowania domyślnego programu do obsługi kodów USSD
Właśnie o to chodzi, że jest tak w wypadku wszystkich zasobów poza tym. KAŻDA aplikacja ma do tego dostęp, nie ma tego wyszczególnionego w uprawnieniach.
“więc problem nie jest tragiczny w skutkach…”
Może nie tragiczny ale bardzo niebezpieczny, wystarczy sobie połączyć Zeus + taki spoofing (nawiasem mówiąc już kawałek czasu temu powstały takie kombinacje).
Na SGSII z ICS nie działa, wywala błąd aplikacji wiadomości.Takich podatności jest sporo.
Galaxy Note II, 4.1.1, Go SMS Pro
Nic się nie dzieje po naciśnięciu Send, nie pojawia się nigdzie żadna wiadomość.
Z tego co zauważyłem (w komentarzach w sklepie Google Play) wiele aplikacji już wysyła takie smsy ;)
U mnie działa.