SMS spam

Možno sa to už stalo aj vám. Telefón vám ohlási príchod esemesky, vy ju otvoríte a vo vnútri sú pre vás nezmyselné znaky od neznámeho odosielateľa. Snažíte sa na číslo zavolať, ale číslo hlási chybu. Necháte to teda tak. Čo ak vám však takýchto SMS prídu stovky či dokonca tisíce?

Takéto SMS sú využívané na overenie telefónneho čísla konkrétnej osoby. Najčastejšie ich využívajú operátori, banky a väčšie spoločnosti, ako Google a Facebook. Princíp je jednoduchý. Po prihlásení do systému, registrácii alebo inej akcii je na určené číslo zaslaná SMS správa, ktorá obsahuje token. Princíp je veľmi podobný tomu pri captchi, akurát namiesto obrázka je zaslaná SMS. Táto ochrana má hneď niekoľko výhod. Daná akcia je jasne spojená s presným telefónnym číslom, je extrémne zložité urobiť automatizovaný systém (zložité technicky, resp. hardvérovo) na danú akciu, pri správnej implementácii je nemožné zistiť prijímateľa SMS (napríklad pri bankách). Nevýhod je tiež zopár. Tou hlavnou je, samozrejme, cena, i keď pri obrovských množstvách sú SMS otázkou halierov, napriek tomu je za ne väčšinou potrebné platiť (ak nejde práve o GSM operátora). To je však problém danej spoločnosti. Z pohľadu používateľa môže byť SMS autentifikácia veľmi nepríjemná, ak nie je SMS doručená včas, takisto ak nie je v správnom kódovaní a sú zasielané špeciálne znaky atď.

Ak opomenieme tieto otázky, je systém SMS autentifikácie/notifikácie veľmi príjemný. Keď som si ja prezeral implementácie týchto systémov na Slovensku a v zahraničí, narazil som na jednu podstatnú chybu. Dalo by sa to nazvať logickou zraniteľnosťou, keďže to v tomto prípade neohrozuje bezpečnosť ani odosielateľa, ani prijímateľa (resp. to odosielateľovi viac zaťaží peňaženku a prijímateľovi znepríjemní deň). Na ten druhý prípad by som rád teraz poukázal. Možno si spomínate na program, ktorý pred niekoľkými rokmi vytvorila partia nadšencov. Tento program vytváral registrácie na portáli www.orangeportal.sk a tým zasielal SMS na dané číslo v neobmedzených počtoch. Orange ako reakciu na tento portál pridal do formulára captchu. Nezmenil však to, čo je samotnou príčinou problému, a to logiku systému overovania daného čísla.

Ochrana proti tomuto útoku je jednoduchá. Obmedzenie počtu zaslaných SMS na jedno číslo v jeden deň na presný počet. Dokonale stačí 5, môže byť aj 10 správ. Viac nie je potrebných, pretože je prakticky vylúčené, aby niekto potreboval viac overovacích správ.

Na rovnaké zraniteľnosti trpeli aj portály Facebook a Google, ale na moje upozornenie boli tieto zraniteľnosti odstránené, a to pridaním limitu na jedno číslo. Tento limit je 5 až 10 SMS na jedno číslo v jeden deň až do overenia čísla. I keď 10 nevyžiadaných SMS môže byť skutočne nepríjemných, dostať ich niekoľko stoviek je likvidačné.

V našich končinách na túto logickú zraniteľnosť trpia portály minimálne T-Mobilu a Orangeu, a to hneď na niekoľkých miestach. Mne sa pri testoch podarilo odoslať mne a mojim známym niečo vyše 15 000 SMS. V prípade, že by takéto množstvo dostala jedna osoba, pravdepodobne by ju to zamestnalo na dlhý čas a veľmi znepríjemnilo deň. I keď dnes telefóny už vedia celkom pekne spravovať SMS správy, i tak je veľmi nepríjemné dostať niekoľko stoviek správ.

Preto som sa oboch operátorov cez e-mail opýtal, ako má reagovať ich zákazník, ak sa podobná vec stane aj jemu, no ich odpovede boli asi takéto:

Dakujeme Vam za Vas e-mail ako aj snahu poskytovat spotrebitelom a zakaznikom rady a informacie ohladom uvedenej problematiky. V zaujme spolocnosti Orange je najma poskytovanim bezpecnych sluzieb a technickou podporou svojich informacnych systemov prispiet k eliminacii zasielania nevyziadanych sms sprav pre svojich zakaznikov. S dovodu zabezpecenia a ochrany Vam vsak nemozeme poskytnut podrobnejsie informacie. Uistujeme Vas vsak, ze pokial sa aj taketo situacie zakaznikovi vyskytnu, bezodkladne je mu poskytnuta technicka pomoc na odstranenie neziaduceho stavu.

Aj napriek ich uisteniu, že sa nič také stať nemôže, bol som si schopný poslať niekoľko tisíc SMS na číslo práve tohto operátora. Takže ako vždy, sú to len plané reči, no skôr mám pocit, že ma ani u jediného operátora nepochopili napriek tomu, že som problematiku opísal dosť obšírne. Ale čo sa dá očakávať od hotlineu...

Zdroj: Synopsi Blog

---