Søg

Din mobiltelefon kan hackes med sms-beskeder

På Black Hat-konferencen blev der vist eksempler på, hvordan SMS kan anvendes som hackerværktøj til at overtage kontrollen med mobiltelefoner.

31. juli 2009 kl. 12.57
Artikel top billede
Dan Mygind Dan Mygind

Det er ikke mange dage siden, at sikkerhedsfolk advarede mod en alarmerende udvikling i malware rettet mod mobiltelefoner.

På den netop overståede sikkerhedskonference Black Hat var der da også eksempler på, hvordan hackere kan overtage kontrollen med mobiltelefoner.

Måske lidt overraskende blev den ellers relativt simple og gamle SMS-teknologi anvendt til et par af tricksene.

iPhone kan hackes via SMS

Tidligere på måneden viste Charlie Miller, sikkerhedsanalytiker hos Independent Security Evaluators, det første hack af en iPhone på SyScan-konferencen i Singapore.

Dengang kunne han blot få en iPhone til at gå ned ved at sende SMS'er til den, men han sagde allerede dengang, at han mente, at sårbarheden kunne udnyttes til at overtage kontrollen med telefonen.

Han var blot ikke kommet så langt.

Kan helt overtage en iPhone

Han er nu kommet videre og kan overtage en iPhone ved at oversvømme telefonen med en række SMS-kontrol-beskeder, fortæller han IDG News Service inden han skal præsentere sårbarheden på Blackhat-konferencens sidste dag sammen med sikkerhedsanalytikeren Collin Mulliner.

"SMS er en fantastisk angrebsmulighed for mobiltelefoner. Jeg behøver kun dit telefonnummer. Det er ikke nødvendigt at få dig til at klikke på et link eller lignende," siger Charlie Miller.

Miller's angreb kan ikke køre shellkode, men det giver ham adgang til instruktioner på telefonens processor.

"Med lidt mere arbejde kan man udnytte det her til at køre shellkode," siger Charlie Miller til IDG News Service.

Charlie Miller har rapporteret fejlen til Apple, men der er ikke nogen patch klar endnu.

Ifølge en artikel i Forbes, har Charlie Miller og Collin Mulliner også fundet lignende sårbarheder i Windows Mobile og Google Android.

SMS nyt angrebsområde

Selv om SMS er en gammel teknologi, lader det til at det bliver et område, der vil blive anvendt til flere angreb.

Charlie Miller mener da også, at der efterhånden vil blive fundet flere sårbarheder i SMS-teknologien.

Han har sammen med Collin Mulliner udviklet et SMS "fuzzing" værktøj Injector, som kører iPhone OS, Android og Windows Mobile.

Dyrt angreb

Værktøjet skal installeres på en mobiltelefon og er tænkt som en hjælp for sikkerhedsanalytikere til at finde flere sårbarheder i mobiltelefoner.

Injector kan generere tusindvis af SMS-beskeder uden at det koster noget, da beskederne ikke sendes over mobilnettet.

Hvis man ønsker at overtage kontrollen med en mobiltelefon, kræver Charlie Millers SMS-oversvømmelse altså at man sender en masse SMS'er.

Det er måske en beroligende tanke ved den sårbarhed, at det koster en del penge at sende de mange specielle SMS'er, så det kan holde nogle script-kiddies væk.

Men det behøver ikke at være så dyrt, hvis man blot forstår at efterligne de rigtige SMS-kontrolbeskeder. Det har to andre sikkerhedsforskere gjort.

Efterligning af SMS-kontrolbeskeder

To andre sikkerhedsfolk, Zane Lackey og Luis Miras på Black Hat-konferencens sidste dag, lagde op til at vise, hvordan SMS-beskeder kan forfalskes, så det ligner de kommer fra mobiloperatørernes servere.

Det giver mulighed for at ændre en mobiltelefons konfiguration.

I beskrivelsen af deres præsentation skriver de, at de vil frigive et SMS-hacking værktøj og de vil demonstrere en iPhone-applikation, som kan benyttes til adskillige SMS-angreb.

"SMS er en af de eneste angrebsmuligheder på en mobiltelefon, der som standard altid er åben og det kræver næsten ingen brugerinvolvering at blive angrebet," hedder det i deres præsentationsbeskrivelse.

Hvad der præcist ligger i "næsten ingen brugerinvolvering" er ikke klart på nuværende tidspunkt.

En kilde med kendskab til hacket udtaler til IDG News Service:

"De har basalt set fundet en måde at omgå al validering af hvem, der er afsender."

"iPhone værktøjet, som kører på en jailbroken iPhone-version, gør det muligt at sende en SMS-besked med data som normalt kun bør komme fra mobiloperatørens netværk.," siger kilden.

"De har fundet en ny angrebsmulighed som giver mulighed for at udnytte mobiltelefoner fordi netværksoperatører og mobiloperatører har foretaget nogle forkerte formodninger om sikkerheden i kommunikationskanalen."

"Angrebet virker på GSM (Global System for Mobile Communications), men ikke på CDMA (Code Division Multiple Access) netværk," oplyser kilden.

Det er ikke klart, hvor farligt et sådan SMS-angreb er eller hvad sikkerhedsanalytikerne præcist er i stand til, men netværksoperatører anvender SMS til at sende grundlæggende konfigurationer til mobiltelefonerne.

I teorien kan en angriber formentlig bruge teknikken til at ændre indstillinger for eksempelvis voicemails eller redirigere mobiltelefonens webbrowser til et ondsindet site med skadelig kode.

Seneste nyt

|Vis seneste uge

Læses lige nu

    Annonce

    Accele­rated learning har løst samfund­skri­tiske udfordringer hos vores nordiske naboer

    Annonceindlæg fra Academic Work Denmark A/S

    Accele­rated learning har løst samfund­skri­tiske udfordringer hos vores nordiske naboer

    Med akut mangel på blandt andet IT- og Tech kompetencer er det nødvendigt at gøre op med traditionel uddannelsestænkning.

    KMD A/S

    Senior Solution Architect

    Københavnsområdet

    SOS International

    Cloud Native Architect

    Midtjylland

    Capgemini Danmark A/S

    Open Application (Denmark)

    Københavnsområdet

    Netcompany A/S

    Managing Architect

    Midtjylland

    Se flere it-stillinger

    Navnenyt fra it-Danmark

    Lector ApS har pr. 2. februar 2026 ansat Jacob Pontoppidan som Sales Executive i Lectors TeamShare gruppe. Jacob skal især beskæftige sig med vækst af TeamShare med fokus på kommerciel skalering, mersalg og en stærk go to market eksekvering. Jacob har tidligere beskæftiget sig med salg og forretningsudvikling i internationale SaaS virksomheder. Nyt job

    Jacob Pontoppidan

    Lector ApS

    55,7° North (a Beautiful Things company) har pr. 2. februar 2026 ansat Philip Jacobi Zahle, 53 år, som Partner & CSMO. Han skal især beskæftige sig med Ansvar for Salg, Marketing og Brandudvikling i Norden, som han tidligere har gjort med GoPro, Skullcandy og Insta360 m.fl. Han kommer fra en stilling som Marketing & Branding Manager hos Boston Group A/S. Han har tidligere beskæftiget sig med distribution og brand building gennem 26 år og er kendt fra mærker som GoPro, Skullcandy og Insta360. Nyt job

    Philip Jacobi Zahle

    55,7° North (a Beautiful Things company)

    Thomas Nakai, Product Owner hos Carlsberg, har pr. 27. januar 2026 fuldført uddannelsen Master i it, linjen i organisation på Aarhus Universitet via It-vest-samarbejdet. Færdiggjort uddannelse

    Thomas Nakai

    Carlsberg

    Immeo har pr. 1. februar 2026 ansat Claes Justesen som Principal. Han kommer fra en stilling som Director hos Valtech. Nyt job

    Claes Justesen

    Immeo

    Se mere fra navnenyt

    Computerworld

    Opinion

    Annonce

    Mest læste

    1 Nyt hackerværktøj kan stjæle følsomme data fra din iPhone - så nemt er det
    2 Nye lønregler kan føre til uro og opsigelser i mange danske virksomheder: "Pludselig er der folk, som finder ud af, at de får for lidt i løn"
    3 Hver tredje danske it-leder har en månedsløn på mere end 87.000 kroner: Næsten alle forventer mere i løn
    4 Professor Jan Damsgaard: Her er vores eneste mulighed for at opnå reel digital suverænitet
    5 Test: Så let får du liv i dine gamle vinylplader – trådløst eller via USB-C
    6 Ny lov om løn-gennemsigtighed træder snart i kraft – hos BEC har den allerede ført til lønjusteringer
    7 Danske banker har investeret milliarder af kroner i Palantir - og formentligt tjent styrtende på det
    8 Kæmpebank vil erstatte 20.000 ansatte med AI / FBI køber data om borgeres lokation / Instagram dropper kryptering af beskeder

    Se seneste uge