Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Pan Lesław stracił 1200 złotych. Jego syn, gracz w Minecrafta, zeskanował kod QR, dzięki czemu atakujący uzyskał dostęp do jego SMSów… Uważajcie!
Pan Lesław opisuje swoją historię w tym miejscu. Co się wydarzyło? W skrócie:
- Syn lubiący grać w Minecrafta „podczas jednej z gier, otrzymał na chacie kod QR, z prośbą o jego zeskanowanie a następnie wypełnienie ankiety” (ankieta pojawiła się tutaj tylko dla zaciemnienia istoty ataku – przyp. sekurak)
- Syn nie mógł tego zrobić na swoim telefonie więc poprosił o pożyczenie telefonu taty (Pana Lesława)
- Finalnie Pan Lesław otrzymał rachunek od operatora telekomunikacyjnego na kwotę 1200 złotych.
Co tutaj się wydarzyło? Został użyty atak opisywany jakiś czas temu przez CERT Polska. Po kolei:
1. Atakujący generuje najpierw kod QR tutaj: https://messages.google.com/web/authentication
2. Następnie próbuje skłonić ofiarę żeby otworzyła (a w razie potrzeby zainstalowała) na swoim telefonie aplikację Wiadomości.
3. Kolejno, ofiara jest proszona aby w aplikacji Wiadomości wybrała opcję 'Parowanie urządzenia’ kodem QR:
4. I teraz dochodzimy do sedna problemu. Po zeskanowaniu przez ofiarę (w aplikacji Wiadomości) kodu QR wygenerowanego w punkcie 1., bez żadnego dalszego potwierdzenia atakujący:
- uzyska wgląd w SMSy ofiary
- może wysyłać SMSy z telefonu ofiary
- ma też dostęp do listy kontaktów ofiary
W skrócie – pełna synchronizacja SMSów ofiary z aplikacją webową (będącą w użyciu przez atakującego). CERT Polska podsumowuje to w ten sposób:
Należy podkreślić, że do sparowania urządzenia nie jest potrzebne podanie żadnych danych uwierzytelniających, nawet jeżeli korzystamy na powiązanym koncie z uwierzytelniania dwuskładnikowego. W trakcie procesu parowania brakuje również jakichkolwiek informacji opisujących jego skutki lub ostrzegających przed zagrożeniami.
5. Jak jest monetyzowany atak? Poprzez wysyłkę SMSów premium.
OK, czy da się przed tym jakoś chronić?
- Po pierwsze atak działa tylko na Androidy
- Można pomyśleć – OK, zablokuję usługi premium u operatora GSM. Ale wg CERTu może być z tym różnie:
Przed obciążeniem rachunku (choć nie przed dostępem do kontaktów i wiadomości) może ochronić nas również zablokowanie u operatora usług typu SMS premium. Jednak często można je odblokować wysyłając SMS, co będzie mógł zrobić również oszust.
- Zablokować / usunąć aplikację Wiadomości, jeśli jest ona na naszym telefonie (ale z oczywistych względów warto zapewnić sobie inną aplikację do odczytu/wysyłki SMSów)
Warto też przypomnieć, że o tym samym ataku donosiła jakiś czas temu Zaufana Trzecia Strona, a jeszcze inny wariant można prześledzić tutaj. Jeszcze kolejną, podobną historię opisuje policja w Kolbuszowej.
~ms
UOKiK powinien nałożyć karę na operatora który domyślnie pozwala na platne systemu czy to sms czy przez elektronikę
Nieładnie curfaze, nieładnie, miałeś z tym skończyć…
Noo jaak, przecież Google, Meta itd dbają o bezpieczeństwo mechanizmów.
Co sie moze stać jak z telefoniku można robić wszystko, tego samego co jest hakowalny w 5 minut obrazkiem :D
Odinstalowanie aplikacji jako remedium na głupotę użytkownika?
Dzieciak dał się zbajerować i tyle. Równie dobrze na prośbę atakującego zeskanowałby QR-code wysyłającego płatnego SMS-a czy instalującego dowolną apkę „zdalnego pulpitu” z oficjalnego sklepu i podałby wygenerowany przez nią kod dostępu – to nie aplikacja Wiadomości jest tu problemem.
Samo parowanie QR-codem jest bezpieczne i wygodne przy korzystaniu z SMS/MMS/RCS na desktopie na przykład służbowym, bez konieczności logowania się na nim na prywatne konto czy instalowania czegokolwiek. Niestety Google nie ma w zwyczaju robienia „emejzingu” z takich funkcjonalności, więc niewiele osób o takich rzeczach wie i jest niska świadomość co to robi i jak tego używać.
Na ostatnim szkoleniu z Cyberzbója v4 Grzesiek wspominał, że QR może nas najwyżej przenieść na jakąś stronę internetową. Wychodzi na to, że jednak jest inaczej i jest się czego obawiać :D
tak, jak się zeskanuje QR kod nie 'normalnie’ tylko w 'specjalnej aplikacji, to rzeczywiście może być problem
aplikacja milion razy tłumaczy, z czym to się wiąże
trzeba celowo odpalić określoną aplikację, celowo przejść do ekranu parowania i celowo dopiero tam zeskanować kod (który generalnie prowadzi do strony pomocy jeśli spróbujemy go po prostu zeskanować i odczytać w całości)
Zdecydowanie nie milion i zdecydowanie nie tłumaczy.
Jak na taką funkcjonalność to w zasadzie nie ma tu żadnego ostrzeżenia:
– Na początek wchodzisz w parowanie urządzeń („no tak, coś nie działało to wiadomo, trzeba coś sparować/zsynchronizować/inne dzikie węże”).
– Potem połowa nawet nie przeczyta komunikatu o wysyłaniu wiadomości („no tak, to w końcu apka do wysyłania wiadomości”).
– A na koniec po prostu wszystko znika i po drugiej stronie natychmiast możesz klikać, a powiadomienie przyjdzie „kiedyś tam” (Gdy zrobiłem test to powiadomienie wyskoczyło dobre 30 sekund później).
Tutaj Google dało ciała po całości, wielu użytkowników nie zrozumie początkowych komunikatów (a przecież nie będą sprawdzać, co oni, głupi są? ;)), nie ma wyraźnego ostrzeżenia co zrobiłeś, a zanim pojawi się powiadomienie to telefon już dawno może być na biurku, a oszukiwany wrócił do Discorda.
Definitywnie aplikacja zamiast „gotowe” powinna wyświetlić jasny komunikat „właśnie udostępniłeś swoje wiadomości do podglądu i edycji na /nazwa_komputera/”.
W aktualnej formie to jak najbardziej jest dziura bezpieczeństwa na którą wielu użytkowników może się łatwo złapać po banalnej socjotechnice.
Czy komunikat „parowanie urządzenia” nie powinien dać do myślenia?
Zrobiłem sobie mały test. odpaliłem sobie stronę nessages.android.[com] – wygenerował kod QR. po zeskanowaniu nie przez aplikację „Wiadomości” tylko normalnym skanerem QR dostajemy linka do strony wyjaśniającej co robi ten QR kod i jak go użyć. Więc jedynie kliknięcie w aplikacji Wiadomości opcji „Parowanie urządzenia” pozwoli na sparowanie z SMS. Więc rada odinstalowania aplikacji jest na moje trochę na wyrost. jak ktoś dał się namówić na kliknięcie parowania – to pewnie da się namówić również na zainstalowanie legitnej aplikacji Wiadomosci. Bardziej bym radził pilnowanie co z Twoim telefonem robią dzieci nieświadome zagrożeń i uczulanie przed klikaniem czegokolwiek niepewnego. A jeśli chodzi o googla to tu na pewno wygrała wygoda z bezpieczeństwem. Udostępnienie SMS-ów tylko dla zalokowanego użytkownika z konta zarejestrowanego na telefonie wydawałoby się dużo bezpieczniejsze.
Po raz kolei widac ze dla przecientego kowalskiego – iPhone jest po prostu duzo bardziej bezpieczny.
z iPhonami jest jedna zaleta/problem: jest praktycznie jeden :) Androidów jest ogrom – niektóre bardziej bezpieczne (w domyślnej konfiguracji) inne mniej, inne z dodatkami od producenta (patrz wyżej)
Ttelefon służył do dzwonienia. Odkąd do dzwonienia służy kieszonkowy komputer, odtąd oszuści mają większe pole do popisu. Wielu ludzi z trudem ogrania wykonywanie i odbieranie połączeń i co najważniejsze – kończenie połączeń. SMS czytają tylko jak się pojawi na ekranie. Czy w trosce o takich ludzi trzeba zabrać im telefony? Telefon taraczowy to już fanaberia, bo operatorzy likwidują łącza kablowe na korzyść internetowych.
Oszuści zaś chwycą się każdego sposobu żeby kogoś oszukać i przykre jest, że ofiara oszusta jest nazywana „głupią”. Oszust doskonale zna nasze słabości i je wykorzystuje.