Autor: Emkei | 8.2.2011 |
Boom se zasíláním tzv. fake SMS s padělanou hlavičkou odesílatele je v České republice už nějaký ten pátek za námi. Tehdy mobilní operátoři hromadně blokovali brány poskytovatelů takových služeb a navíc cena falešné SMS na tuzemská čísla nebyla zrovna příznivá. V dnešní době se již dá nalézt poskytovatel, který dokáže doručit SMS i do sítě českých operátorů, každopádně cena se nezměnila, obvykle za jednu SMS zaplatíte něco kolem 1 amerického dolaru, tedy zhruba 20 Korun. Navíc je potřeba vlastnit kreditní kartu nebo nabitou elektronickou peněženku. Přitom cesta k padělané SMS nemusí být zdaleka tak trnitá a už vůbec ne drahá.
Francouzskou společnost OVH pravděpodobně nemusím představovat, jedná se o jednoho z největších světových poskytovatelů webhostingových služeb, v Evropě dokonce největšího. Vedle zmíněného webhostingu nabízí mj. i dedikované servery, SSL certifikáty a především, SMS balíčky. Při zakoupení služby SMS získáte za cenu 200,- Kč celkem 100 SMS zpráv, tedy jednu po dvou Korunách. Tyto zprávy můžete odesílat z libovolného, ovšem aktivovaného mobilního čísla, které si zvolíte. Aktivací se myslí proces, kdy na zvolené číslo přijde aktivační SMS s čtyřmístným PINem, který je následně nutné opsat do administrace služby k příslušnému telefonnímu číslu. Jak už mnohým pravděpodobně došlo, problém je právě v čtyřmístném PINu. Nejen, že je to velmi krátký, čistě numerický řetězec, navíc máte neomezené množství pokusů k zadání správné kombinace, kterých je (díky možné počáteční nule) pouhých 10 000. Pro kohokoliv znalého programování nebo scriptování tak není problém napsat si jednoduchou aplikaci, která během několika minut vyzkouší všechny kombinace za vás a umožní vám tak odesílat SMS z čísel mobilních telefonů, která vám nepatří.
Nyní na chvíli odbočím. Podobnou službu nabízí i tuzemský operátor Telefónica O2, a to na doméně O2 Extra. Po zadání kýženého telefonního čísla, ze kterého chcete prostřednictvím SMS brány odesílat zprávy, na ně přijde aktivační kód, který se skládá ze trojce tří číslic oddělených tečkou. Vyzkoušet všechny možné kombinace takového řetězce by již bylo mnohem náročnější, navíc programátoři si byli tohoto potenciálního rizika vědomi a správně omezili počet pokusů na pouhé tři. Takto by se měla chovat i aplikace společnosti OVH, bohužel (nebo naštěstí, chcete-li) tomu tak není.
Zpět k OVH a jejich SMS manažeru. Ten trpí ještě jednou podstatnou vadou. Pokud totiž do aplikace přidáte telefonní číslo, přijde na ně aktivační PIN. Jakmile ale tento aktivační kód nezadáte do administrace a číslo smažete, aktivační kód v databázi zůstane. Pokud tedy přidáte znovu stejné číslo, vygeneruje se druhý aktivační kód a vy jste tak snížili počet nutných pokusů zhruba na čtvrtinu, při třetím aktivačním kódu již na osminu a tak dále.
Aby to nebyla jen suchá teorie, zkusíme si přidat nějaké cizí číslo a aktivovat je. K tomuto účelu jsem vytvořil jednoduchý PoC, který naleznete v závěru mého článku. I když vypadá komplikovaně, samotnou funkcionalitu v podstatě zajišťuje jediný řádek, vše okolo není nic než instrukce user-friendy rozhraní a optimalizace. Samozřejmě by bylo možné vylepšit script tak, aby nebylo nutné zakládat požadované číslo ručně a předávat mu nikoliv accountID a cookie přihlášeného uživatele, nýbrž pouze požadované telefonní číslo, login a heslo. Každopádně se jedná pouze o PoC, který je dle mého názoru k demonstraci funkčnosti dostačující.
Tedy, co si takhle aktivovat číslo prezidenta republiky? Přátele by jistě potěšilo, kdyby jim k narozeninám popřál sám prezident a on nám to, jak pevně doufám, odpustí :)
Telefonní číslo pana prezidenta lze nalézt na stránkách jeho kanceláře, konkrétně tedy zde a zní +420 726 211 111. Po přidání čísla do SMS manageru na ně přijde SMS následujícího tvaru:
kde samozřejmě xxxx představuje čtyřmístný číselný PIN. Již samotný tvar SMS včetně identifikátoru odesílatele jsou tak špatně koncipovány, že nedávají jeho příjemci šanci poznat, o co se vlastně jedná a naprostá většina lidí tedy bude tuto zprávu ignorovat.
Po spuštění scriptu a předání příslušných parametrů již stačí pouze chvíli počkat, dokud nedojde k aktivaci čísla. Následně již můžete směle odesílat zprávy s padělaným číslem odesílatele za pouhé 2,- Kč komukoliv, kdo vás zrovna napadne. Mějte ovšem na paměti, že takovým jednáním porušujete nejen smluvní podmínky společnosti OVH, ale v případě zneužití se můžete dopustit i trestného činu.