Možno sa to už stalo aj vám. Telefón vám ohlási príchod smsky, vy ju otvoríte a vo vnútri sú pre vás nezmyselné znaky od neznámeho odosielateľa. Snažíte sa na číslo zavolať, ale číslo hlási chybu. Necháte to teda tak. Čo ak vám ale takýchto SMS prídu stovky, či dokonca tisíce.

Takéto SMS sú využívané na overenie telefónneho čísla konkrétnej osoby. Najčastejšie ich využívajú operátori, banky a väčšie spoločnosti ako Google a Facebook. Princíp je jednoduchý. Po prihlásení do systému, registrácii, alebo inej akcii je na určené číslo zaslaná SMS správa, ktorá obsahuje token. Princíp je veľmi podobný tomu u captchy, akurát namiesto obrázku je zaslaná SMS. Táto ochrana ma hneď niekoľko výhod. Daná akcia je jasne spojená s presným telefónnym číslom, je extrémne zložité urobiť automatizovaný systém (zložité technicky, resp. hardvérovo) na danú akciu, pri správnej implementácií je nemožné zistiť prijímateľa SMS (napríklad u bánk). Nevýhod je tiež zopár. Tou hlavnou je samozrejme cena, i keď pri obrovských množstvách sú SMS otázkou halierov, napriek tomu je za ne väčšinou potrebné platiť (ak nejde zrovna o GSM operátora). To je však problémom danej spoločnosti. Z pohľadu užívateľa môže byť SMS autentifikácia veľmi nepríjemná, ak nie je SMS doručená včas, taktiež ak nie je v správnom kódovaní a sú zasielané špeciálne znaky, atď.

Ak pominieme tieto otázky, je systém SMS autentifikácie/notifikácie veľmi príjemný. Keď som si ja prezeral implementácie týchto systémov na Slovensku a v zahraničí, narazil som na jednu podstatnú chybu. Dalo by sa to nazvať logickou zraniteľnosťou, keďže to v tomto prípade neohrozuje bezpečnosť ani odosielateľa, ani prijímateľa (resp. to odosielateľovi viac zaťaží peňaženku a prijímateľovi znepríjemní deň). Na ten druhý prípad by som rád teraz poukázal.

Možno si spomínate na program, ktorý pred niekoľkými rokmi vytvorila partia nadšencov. Tento program vytváral registrácie na portáli www.orangeportal.sk a tým zasielal SMS na dané číslo v neobmedzených počtoch. Orange ako reakciu na tento portál pridal do formuláru captchu, ktorú som demonštračne “lúskal” v dnešnom článku. Nezmenil však to, čo je samotnou príčinou problému a to logiku systému overovania daného čísla.

Ochrana proti tomuto útoku je jednoduchá. Obmedzenie počtu zaslaných sms na jedno číslo v jeden deň na presný počet. Dokonale stačí 5, môže byť aj 10 správ. Viac nie je potrebných, pretože je prakticky vylúčené, aby niekto potreboval viac overovacích správ.

Na rovnaké zraniteľnosti trpeli aj portály facebook a google, ale na moje upozornenie boli tieto zraniteľnosti odstránené a to pridaním limitu na jedno číslo. Tento limit je 5 až 10 sms na jedno číslo v jeden deň až do overenia čísla. I keď 10 nevyžiadaných sms môže byť skutočne nepríjemných, dostať ich niekoľko stoviek je likvidačné.

V našich končinách na túto logickú zraniteľnosť trpia portály minimálne T-mobilu a Orangeu a to hneď na niekoľkých miestach. Mne sa pri testoch podarilo odoslať mne a mojim známym niečo cez 15 000 SMS. V prípade že by takéto množstvo obdržala jedna osoba, pravdepodobne by ju to zamestnalo na dlhý čas a veľmi znepríjemnilo deň. I keď dnes telefóny už vedia celkom pekne spravovať SMS správy, i tak je to veľmi nepríjemné dostať niekoľko stoviek správ.

Preto som sa oboch operátorov cez email opýtal ako má reagovať ich zákazník, ak sa podobná vec stane aj jemu, no ich odpovede boli asi takéto.

dakujeme Vam za Vas e-mail ako aj snahu poskytovat spotrebitelom a zakaznikom rady a informacie ohladom uvedej problematiky.
V zaujme spolocnosti Orange je najma poskytovanim bezpecnych sluzieb a technickou podporou svojich informacnych systemov prispiet k eliminacii zasielania nevyziadanych sms sprav pre svojich zakaznikov. S dovodu zabezpecenia a ochrany Vam vsak nemozeme poskytnut podrobnejsie informacie. Uistujeme Vas vsak ze pokial sa aj taketo situacie zakaznikovi vyskytnu, bezodkladne je mu poskytnuta technicka pomoc na odstranenie neziaduceho stavu.

Aj napriek ich uisteniu že sa nič také stať nemôže, bol som si schopný poslať niekoľko tisíc SMS na číslo práve tohoto operátora. Takže ako vždy, sú to len plané reči, no skôr mám pocit, že ma ani u jediného operátora nepochopili napriek tomu, že som problematiku opísal dosť obšírne. Ale čo sa dá očakávať od Hot-lineu.

Pevne verím, že sa operátori rozhodnú tieto problémy odstrániť čo najrýchlejšie.

Na záver malý proof of concept, ako tento systém funguje. Ak budete mať niekto záujem si celý proces vyskúšať na vlastnej koži, pridajte sa k nám na IRC a vyhľadajte ma. Program von nedám zo zjavného dôvodu. Nechcem, aby mi niekto zaspamoval moje číslo :)