CNET科技资讯网8月3日国际报道 安全研究人员上周在黑帽安全大会上表示,伪造某一类型的短信服务(SMS)信息,让它看似电信运营商或某个正派单位传出的,就可能让手机使用者受骗上当。
用这种攻击手法传送多媒体短信服务(MMS)--SMS短信当中的一种--黑客可能诱使收信者造访恶意网站,导致手机遭到破坏或资料被窃。
ISEC Partners资深顾问Zane Lackey与独立研究员Luis Miras说,这类攻击适用于任一种支持MMS功能、并且在GSM网络上运行的手机。
两人用一部经过破解的iPhone,来展示他们写的概念验证程序。此软件让他们传送动过手脚的MMS信息,回避电信运营商对SMS通讯的防护措施,例如防堵恶意软件的过滤器。
电信运营商通常通过SMS通讯对用户发送通知,例如语音邮件通知。因此,这类短信即使未揭露发信人信息或其他细节,也受到收信者的信任。但伪造的信息可能假冒银行或PayPal等公司的名义,诱骗使用者上恶意网站。
Miras表示,这是电信运营商的问题,“我们已告诉他们,而他们正着手制作补丁程序”。
两位研究员也已通报GSM Alliance,让该联盟对电信运营商提供更详细的资料。
Lackey和Miras在会中作示范,传一则短消息给某个手机使用者,假装提供一笔20美元的信用贷款,短信内含某个恶意网站的链接。此外,他们也示范传出一则伪造的语音邮件提示,和一则SMS信息,要使用者决定接受或拒绝新的手机环境设定。
收信者若以为此信息真的是电信运营商的通知,进而接受这些改变,就可能让攻击者有机会在幕后搞鬼,例如把原本通过电信运营商服务器传输的互联网电话,改成通过黑客的服务器接通,攻击者就能监听通话的内容。
黑客也可能利用这类攻击,探知手机使用哪一种操作系统,以便针对那种软件发动攻击。
Lackey说,由于iPhone和Android手机可轻易修改,而且SMS功能建构在更高的层级,攻击者因此可以通行无阻,发动SMS攻击也变得愈来愈容易。
Miras表示,除了对SMS短信提高警觉外,一般手机使用者对防治这类攻击能做的很有限。
用户评论