Alecu explorou a maneira como os dispositivos móveis processam as mensagens de texto destinadas a aplicações especiais denominadas SIM Toolkits que, segundo ele, são pré-carregadas nos cartões SIM por mais de 90% das operadoras móveis.
Os SIM Toolkits podem receber comandos por meio de mensagens SMS especialmente formatadas, mas para que esses comandos sejam executados com sucesso, o cabeçalho da mensagem deve conter uma assinatura digital válida.
A grande maioria dos celulares não apresenta qualquer notificação quando recebe mensagens SIM Toolkit, explicou. Alguns acordam do seu estado suspenso, mas nenhuma mensagem é visível na caixa de entrada e não há nenhuma outra indicação de que uma mensagem foi recebida.
A criptografia usada para verificar a autenticidade da mensagem é bastante sólida e não pode ser quebrada, disse Alecu. Em vez disso, os seus ataques usam celulares que retornam automaticamente mensagens de erro, em vez de executarem comandos legítimos. Os usuários de alguns aparelhos podem ver que uma mensagem está sendo enviada, mas normalmente não conseguem parar o envio.
Alecu testou as suas descobertas em celulares de vários fabricantes. Apenas os dispositivos da Nokia têm a opção de pedir aos proprietários do telefone para confirmar o envio de uma resposta SIM Toolkit. A opção “Confirme Ações do Serviço SIM” é geralmente desligada, especialmente em celulares configurados pelas operadoras.
Alecu testou celulares Android da High Tech Computer (HTC) e da Samsung, e um Optimus One da LG rodando o CyanogenMod. Nenhum deles exibiu qualquer notificação sobre o envio de respostas SIM Toolkit, e ele não encontrou nenhuma opção para bloquear as respostas. Os dispositivos BlackBerry apresentaram um comportamento semelhante, disse. Os dispositivos Windows Mobile 6.x e iPhones notificam os usuários de que uma mensagem estava sendo enviada, mas não oferecem nenhuma maneira de a parar. Alecu ainda não testou um dispositivo Windows Phone 7.
O remetente de uma mensagem de serviço SIM Toolkit pode solicitar que a resposta móvel via SMS seja direcionada diretamente para o número do remetente ou para o centro do operador de mensagens, segundo Alecu.
Estas duas opções dão origem a dois cenários diferentes de ataque, segundo o especialista.
Para a opção de resposta ao remetente (SMS-SUBMIT), um atacante pode forçar o envio da mensagem de erro para um número de tarifa “premium” usando um serviço de “SMS spoofing”. Esta é uma prática que permite alterar o número de origem de uma mensagem de texto para um outro que o remetente deseje. Isto pode ter fins legítimos mas também maliciosos, e há muitos serviços online que oferecem esse recurso por uma pequena taxa.
Algumas operadoras móveis têm regras estritas sobre a criação desses números. Os candidatos podem ser convidados a provar que são uma empresa registada e a fornecer informações sobre como o número será usado.
Restrições também podem ser impostas sobre o texto que uma mensagem deve conter para que o remetente possa ser cobrado, o que limitaria o ataque porque o atacante não pode controlar o conteúdo da resposta automática.
Se a segunda opção (SMS-DELIVER-REPORT) é utilizada, o erro é enviado para o centro de mensagens da operadora onde é interpretado como uma falha na entrega de mensagens.
Quando as mensagens não podem ser entregues, porque o telefone está desligado ou fora da área de serviço, as operadoras geralmente tentam reenviar a mensagem não entregue a cada poucos minutos, por um período de tempo prédefinido. Quando isto acontece, todas as mensagens subsequentes destinadas a esse número são colocadas em fila para serem entregues quando o telefone re-adquire rede.
Como receber uma mensagem falsa SIM Toolkit sempre resulta numa resposta de erro, é criado um “loop” entre o centro de mensagens e o celular, impedindo o assinante de receber mensagens legítimas. Esta negação de serviço (DoS) não é permanente e, depois de algum tempo, geralmente 24 horas, a mensagem não entregue é automaticamente descartada. No entanto, se um atacante quiser enviar sete mensagens falsas SIM Toolkit uma após outra, o centro de mensagens tentaria entregar cada uma delas a cada 24 horas, resultando em uma semana de DoS do serviço de SMS.
Alecu demonstrou os ataques em cartões SIM de vários operadores da Roménia, Bulgária, Áustria, Alemanha e França. Mas, como os ataques exploram uma falha lógica na norma GSM e normas móveis posteriores, ele acredita que a maioria dos operadores que usam SIM Toolkits são afetados.
Mitigar o ataque é possível, tanto ao vível do operador como do dispositivo. As operadoras podem filtrar as mensagens SIM Toolkit e restringir que números são permitidos enviá-las. Esta seria uma solução elegante, mas Alecu ainda não encontrou um operador que a tenha adoptado.
Os fabricantes de celulares poderiam forçar a confirmação das ações de SIM no seu software. No entanto, essa correção provavelmente não será tão eficaz como a filtragem da mensagem ao nível do operador, referiu Alecu. Atualizações de firmware nem sempre são fáceis de instalar, especialmente em dispositivos mais velhos. Executar uma atualização de firmware de forma errada pode inutilizar os dispositivos e muitos celulares afetados podem até não terem suporte posterior.
O Computer Emergency Readiness Team dos EUA (US-CERT) foi notificado do problema, em Agosto de 2010, e foi convidado a coordenar o processo de divulgação, disse Alecu. Ele referiu ainda que a Research In Motion (RIM) o contactou e está trabalhando em uma correção.
“Estamos cientes das reivindicações e estamos investigando”, disse o porta-voz da Nokia, Tomi Kuuppelomäki. A Samsung, a HTC, a RIM e a Apple não devolveram um pedido de comentário sobre este assunto.
Fonte: IDG Now!
Nenhum comentário:
Postar um comentário