"Miljarden mobiele telefoons via SMS-hack af te luisteren"
Bijna alle mobiele telefoons zijn via een eenvoudige aanval te hacken, waardoor een aanvaller gesprekken kan afluisteren, alle SMS-berichten kan ontvangen en het adresboek kan downloaden. De aanval werd ontdekt door een Duitse beveiligingsexpert, maar volgens telefoonaanbieders is er niets aan de hand en is de aanval verzonnen.
Wilfried Hafner van SecurStar beweert dat hij een "service SMS" of "binair SMS" bericht, die door aanbieders wordt gebruikt om de software op een mobiele telefoon te updaten, kan herprogrammeren. Tijdens de Systems show in Munchen demonstreerde Hafner de aanval, die volgens de expert mogelijk is omdat de afkomst van service SMS-berichten niet gecontroleerd wordt. Daardoor is het voor een aanvaller mogelijk om zich als de telefoonaanbieder voor te doen en mobiele telefoon te herprogrammeren.
"Ik vond deze oude Siemens C45 telefoon, en probeerde het daarna op een Nokia E90 en een Qtek Windows Mobile 2005 telefoon. Geen van de mobieltjes controleerde de afzender. We konden niet geloven dat niemand dit eerder heeft ontdekt" laat Hafner in een reactie weten.
Op alle geteste telefoons wist de onderzoeker een Trojaans paard genaamd Rexspy te plaatsen, zonder dat de eigenaar dit door had. Rexspy stuurt alle SMS-berichten naar de aanvaller, en maakt ook het afluisteren van berichten mogelijk.
Ondanks verschillende verzoeken wil Hafner zijn aanvalsmethode niet nog een keer demonstreren of verder bewijs leveren dat dit echt mogelijk is. Daarnaast heeft het bedrijf van de onderzoeker onlangs een persbericht de deur uitgedaan waarin voor de aanval wordt gewaarschuwd, maar ook flink reclame gemaakt voor de eigen produkten. Critici trekken de bevindingen van Hafner dan ook in twijfel en de telefoonaanbieders zeggen dit probleem al te hebben opgelost.
In 1997 werd Hafner veroordeeld tot drie jaar cel wegens telefoonfraude.
hand en is de aanval verzonnen.
hebben opgelost.
eerst roepen dat het probleem uberhaubt niet bestaat en
vervolgens dat het probleem al opgelost is...
jaja...
phreakers noemde we dat vroeger toch?
Het bovenstaande verschijnsel zou eerder bij Bluesnarfing
moeten horen dan bij Phreaking.
Link: http://www.microsoft.com/netherlands/thuisgebruikers/beveiliging/online/bluetooth_mobile.mspx
genoemde resultaten (afluisteren enzo) mogelijk zijn
betwijvel ik (Een SMS ongezien doorsturen lijkt me nog wel
mogelijk, maar een echt gesprek niet).
Ik wil eerst nog zien, dan pas zal ik geloven ...
alle sms-jes naar 2 verschillende nummers word gestuurd. 1
naar de oorspronkelijke geadreseerde en 1 naar het nummer
van de hacker. Hoe dan gesprekken kunnen worden afgeluisterd
is me even onduidelijk, lijkt mij ook onwaarschijnlijk.
Adres boek downloaden zou ook nog wel mogelijk zijn.
Phreakers deden toch aan blue-boxen?
http://www.signaltonoise.net/library/bluebox.htm
De term Phreaker is oldskool Petert.
Ach..what's in a name? Er zijn zoveel mogelijkheden en
zoveel benamingen...Denk maar eens aan Warchalking...
wireless signaal zit.
Het is idd phreaking.
Ontopic: Ze zullen dus een soort certificaten in het leven gaan moeten
roepen of iets in die trand om de communicatie te beveiligen. Tja,
ongecontrolleerde communicatie is met al die krakers niet meer mogelijk
zo te zien..
van Laura Chappell. 2 dagen lang dingen mbt beveiliging te
horen krijgen (penetration tests, IDS, sniffing, forensics,
etc). Hier kwam ook een service aan bod die ongeveer het
zelfde deed, echter was dit al een paar jaar oud. Laura
gebruikte het om mensen soms te bespioneren. Zelfs
afluisteren van gesprekken als de telefoon niet belde was
mogelijk.
Laura maakte een simpele WAP/GPRS verbinding om de "trojan"
te installeren, maar als er echt een bug zit in de
SMS-ontvanger mbt automatisch installeren van updates. Dan
is de rest van de techniek in ieder geval mogelijk.
Ik zal uit beveiligingsredenen geen naam noemen van de
service die Laura gebruikte.
eenvoudiger type telefoons laten het draaien van dergelijk geavanceerde
software toch helemaal niet toe?
Regelgeving oplegd, waarbij de kwaliteit wordt gegarandeerd, ook
hebben providers er belang bij kwaliteit te leveren.
Tegen crime is dus niets bestand, dat risico loop je anno 2006, daar moet
je mee leren leven.
kabel, om met zijn huistelefoon overal rond te gaan wandelen *G*
Weet iemand hier misschien of en hoe ik erachter kom dat ik gehackt ben?
Dat er iets met mijn gsm is dat is duidelijk.
Graag had ik snel antwoord.
Alvast bedankt!!!
Groetjes tamara
Mobile Hack Tool 2.10 (via bluetooth) en nog wat tools die via wap\gprs\3g werken. Ik geef de namen van die tools niet weer om problemen te voorkomen. Het komt er in iedergeval op neer dat je een trojan op een slachtoffers telefoon plaatst,of een simpele webhack bij providers doet. Dit laatste werkt 90% bij alle providers!! Vooral Kpn en Vodafone,Immers er al zoveel informatie vrijgegeven is op hun websites. Zo verkrijg je alle gegevens die je nodig bent zoals ip adres mac adres van telefoon etc. Nu kun je met een ander tooltje zo via slachtoffer's nummer bellen naar iedereen en sms'en zonder te betalen. Ook afluisteren en dergelijke is nu een koud kunstje. En de reden dat providers ontkennen is logisch immers de schade is niet te voorzien..
Bij verdere vragen naar de niet genoemde tools emailen naar:
haat_a_lot@hotmail.com
Beetje bizar misschien, maar als ik een sms verstuur dan ontvangt iemand anders (1persoon) die ook , diegene staat niet in mijn contactenlijst , ook als ik bel (prepaid) dan is ineens mijn nummer verandert, ik bel dus ineens via een ander nummer, kan iemand mij uitleggen hoe dit kan??
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
