Søg

Din mobiltelefon kan hackes med sms-beskeder

På Black Hat-konferencen blev der vist eksempler på, hvordan SMS kan anvendes som hackerværktøj til at overtage kontrollen med mobiltelefoner.

31. juli 2009 kl. 12.57
Artikel top billede
Dan Mygind Dan Mygind

Det er ikke mange dage siden, at sikkerhedsfolk advarede mod en alarmerende udvikling i malware rettet mod mobiltelefoner.

På den netop overståede sikkerhedskonference Black Hat var der da også eksempler på, hvordan hackere kan overtage kontrollen med mobiltelefoner.

Måske lidt overraskende blev den ellers relativt simple og gamle SMS-teknologi anvendt til et par af tricksene.

iPhone kan hackes via SMS

Tidligere på måneden viste Charlie Miller, sikkerhedsanalytiker hos Independent Security Evaluators, det første hack af en iPhone på SyScan-konferencen i Singapore.

Dengang kunne han blot få en iPhone til at gå ned ved at sende SMS'er til den, men han sagde allerede dengang, at han mente, at sårbarheden kunne udnyttes til at overtage kontrollen med telefonen.

Han var blot ikke kommet så langt.

Kan helt overtage en iPhone

Han er nu kommet videre og kan overtage en iPhone ved at oversvømme telefonen med en række SMS-kontrol-beskeder, fortæller han IDG News Service inden han skal præsentere sårbarheden på Blackhat-konferencens sidste dag sammen med sikkerhedsanalytikeren Collin Mulliner.

"SMS er en fantastisk angrebsmulighed for mobiltelefoner. Jeg behøver kun dit telefonnummer. Det er ikke nødvendigt at få dig til at klikke på et link eller lignende," siger Charlie Miller.

Miller's angreb kan ikke køre shellkode, men det giver ham adgang til instruktioner på telefonens processor.

"Med lidt mere arbejde kan man udnytte det her til at køre shellkode," siger Charlie Miller til IDG News Service.

Charlie Miller har rapporteret fejlen til Apple, men der er ikke nogen patch klar endnu.

Ifølge en artikel i Forbes, har Charlie Miller og Collin Mulliner også fundet lignende sårbarheder i Windows Mobile og Google Android.

SMS nyt angrebsområde

Selv om SMS er en gammel teknologi, lader det til at det bliver et område, der vil blive anvendt til flere angreb.

Charlie Miller mener da også, at der efterhånden vil blive fundet flere sårbarheder i SMS-teknologien.

Han har sammen med Collin Mulliner udviklet et SMS "fuzzing" værktøj Injector, som kører iPhone OS, Android og Windows Mobile.

Dyrt angreb

Værktøjet skal installeres på en mobiltelefon og er tænkt som en hjælp for sikkerhedsanalytikere til at finde flere sårbarheder i mobiltelefoner.

Injector kan generere tusindvis af SMS-beskeder uden at det koster noget, da beskederne ikke sendes over mobilnettet.

Hvis man ønsker at overtage kontrollen med en mobiltelefon, kræver Charlie Millers SMS-oversvømmelse altså at man sender en masse SMS'er.

Det er måske en beroligende tanke ved den sårbarhed, at det koster en del penge at sende de mange specielle SMS'er, så det kan holde nogle script-kiddies væk.

Men det behøver ikke at være så dyrt, hvis man blot forstår at efterligne de rigtige SMS-kontrolbeskeder. Det har to andre sikkerhedsforskere gjort.

Efterligning af SMS-kontrolbeskeder

To andre sikkerhedsfolk, Zane Lackey og Luis Miras på Black Hat-konferencens sidste dag, lagde op til at vise, hvordan SMS-beskeder kan forfalskes, så det ligner de kommer fra mobiloperatørernes servere.

Det giver mulighed for at ændre en mobiltelefons konfiguration.

I beskrivelsen af deres præsentation skriver de, at de vil frigive et SMS-hacking værktøj og de vil demonstrere en iPhone-applikation, som kan benyttes til adskillige SMS-angreb.

"SMS er en af de eneste angrebsmuligheder på en mobiltelefon, der som standard altid er åben og det kræver næsten ingen brugerinvolvering at blive angrebet," hedder det i deres præsentationsbeskrivelse.

Hvad der præcist ligger i "næsten ingen brugerinvolvering" er ikke klart på nuværende tidspunkt.

En kilde med kendskab til hacket udtaler til IDG News Service:

"De har basalt set fundet en måde at omgå al validering af hvem, der er afsender."

"iPhone værktøjet, som kører på en jailbroken iPhone-version, gør det muligt at sende en SMS-besked med data som normalt kun bør komme fra mobiloperatørens netværk.," siger kilden.

"De har fundet en ny angrebsmulighed som giver mulighed for at udnytte mobiltelefoner fordi netværksoperatører og mobiloperatører har foretaget nogle forkerte formodninger om sikkerheden i kommunikationskanalen."

"Angrebet virker på GSM (Global System for Mobile Communications), men ikke på CDMA (Code Division Multiple Access) netværk," oplyser kilden.

Det er ikke klart, hvor farligt et sådan SMS-angreb er eller hvad sikkerhedsanalytikerne præcist er i stand til, men netværksoperatører anvender SMS til at sende grundlæggende konfigurationer til mobiltelefonerne.

I teorien kan en angriber formentlig bruge teknikken til at ændre indstillinger for eksempelvis voicemails eller redirigere mobiltelefonens webbrowser til et ondsindet site med skadelig kode.

Seneste nyt

|Vis seneste uge

Læses lige nu

    Annonce

    Computerworld Events

    Vi samler hvert år mere end 6.000 deltagere på mere end 70 events for it-professionelle.

    Ekspertindsigt – Lyt til førende specialister og virksomheder, der deler viden om den nyeste teknologi og de bedste løsninger.
    Netværk – Mød beslutningstagere, kolleger og samarbejdspartnere på tværs af brancher.
    Praktisk viden – Få konkrete cases, værktøjer og inspiration, som du kan tage direkte med hjem i organisationen.
    Aktuelle tendenser – Bliv opdateret på de vigtigste dagsordener inden for cloud, sikkerhed, data, AI og digital forretning.
    Compliance Day 2025

    Jura | København Ø

    Compliance Day 2025

    Få de nyeste indsigter fra eksperter om, hvordan du navigerer i et komplekst compliance-landskab, når vi samler viden om alt fra NIS2, AI Act, CRA, DORA til GDPR og SCHREMS2.

    Digitaliseringen skaber muligheder – og sårbarheder. Beredskab er løsningen.

    Sikkerhed | Klampenborg

    Digitaliseringen skaber muligheder – og sårbarheder. Beredskab er løsningen.

    Digitalisering skaber både muligheder og sårbarheder. Hele Danmark Øver styrker virksomhedernes beredskab gennem praktiske øvelser, indsigt og samarbejde. Deltag og lær, hvordan din organisation står stærkere, når cyberangrebet rammer.

    Årets CISO 2025

    Sikkerhed | Klampenborg

    Årets CISO 2025

    Danmarks stærkeste program om cybersikkerhed. Mød finalisterne til Årets CISO 2025, hør aktuelle oplæg og få skarpe indsigter i sikkerhed, systemer og ledelse. Tilmeld dig og bliv opdateret på it-sikkerhed i praksis.

    Se alle vores events inden for it

    Leasing Fyn A/S

    Forretningsorienteret systemkonsulent / Business Central specialist

    Fyn

    Forsvarsministeriets Materiel- og Indkøbsstyrelse

    It-overvågningsspecialist til Cyberdivisionen i Hvidovre

    Københavnsområdet

    Netcompany A/S

    Microsoft Operations Engineer

    Midtjylland

    Svendborg Kommune

    Dygtig IT-supporter med stor teknisk viden

    Fyn

    Se flere it-stillinger

    Navnenyt fra it-Danmark

    IT Confidence A/S har pr. 1. oktober 2025 ansat Henrik Thøgersen som it-konsulent med fokus på salg. Han skal især beskæftige sig med rådgivende salg, account management og udvikling af kundeporteføljer på tværs af it-drift, sikkerhed og cloud-løsninger. Han kommer fra en stilling som freelancer i eget firma og client manager hos IT Relation og IT-Afdelingen A/S. Han er uddannet elektromekaniker. Han har tidligere beskæftiget sig med salg af it-løsninger, account management, it-drift og rådgivning samt undervisning og ledelse. Nyt job

    Henrik Thøgersen

    IT Confidence A/S

    Norriq Danmark A/S har pr. 1. oktober 2025 ansat Rasmus Stage Sørensen som Operations Director. Han kommer fra en stilling som Partner & Director, Delivery hos Impact Commerce. Han er uddannet kandidat it i communication and organization på Aarhus University. Han har tidligere beskæftiget sig med med at drive leveranceorganisationer. Nyt job

    Rasmus Stage Sørensen

    Norriq Danmark A/S

    Netip A/S har pr. 1. september 2025 ansat Caroline Harkjær Bach som Business Controller ved netIP's kontor i Thisted. Hun er uddannet med en kandidat i erhvervsøkonomi med speciale i organisation, strategi og ledelse. Nyt job

    Caroline Harkjær Bach

    Netip A/S

    Netip A/S har pr. 19. august 2025 ansat Jacob Vildbæk Jensen som Datateknikerelev ved afd. Herning og afd. Rødekro. Han har tidligere beskæftiget sig med tjenerfaget,. Nyt job

    Jacob Vildbæk Jensen

    Netip A/S

    Se mere fra navnenyt

    Computerworld

    Opinion

    Annonce

    Mest læste

    1 AWS ramt af kæmpe nedbrud: Store cloud-løsninger er nede - her er det gået galt
    2 I 45 år har Steen, Kenn og Kenneth holdt liv i deres mainframe: Nu går de alle på pension, og mainframen lukker
    3 Medie: Ansatte hos danske teleselskaber har læst med i danskernes sms'er
    4 Kombit gør med kæmpe-investering klar til opgør med gammel model: "Vi har set en bevægelse i markedet," siger direktør Søren Kromann
    5 EU strammer reglerne for opladere: Ny forordning ændrer dine strømforsyninger
    6 Apple investerer massivt i vindmølle-parker og solcelle-farme ikke langt fra os
    7 Morgen-briefing: KMD-CFO fratræder bestyrelse / Kostbart dansk GPS-udstyr er yndet mål for tyveknægte / Samsungs ejerfamilie sælger aktier for milliarder
    8 Vil tvinge Trump til at trække heftig prisstigning på it-visaer tilbage: Skal ikke koste 650.000 kroner

    Se seneste uge