Tag: sms

Takim binarnym SMSem możesz przepuścić komunikację z czyjegoś smartfona przez swój serwer (*)

05 września 2019, 12:15 | W biegu | komentarze 4
Takim binarnym SMSem możesz przepuścić komunikację z czyjegoś smartfona przez swój serwer (*)

Jeśli ktoś był na na jednym z naszych hacking party widział na żywo działanie binarnych SMS-ów (można np. podmienić SMS-a, którego już się wysłało… to cały czas działa!). Tymczasem warte wzmianki jest badanie od Checkpointa, które pokazuje innego rodzaju SMS, wysyłany rzekomo od operatora GSM: Niektóre telefony wymagają przy odbiorze…

Czytaj dalej »

Fałszywy konkurs od Lidla wiecznie żywy… [phishing]

29 marca 2019, 18:10 | W biegu | komentarze 2

Jeden z czytelników podesłał nam właśnie maila, którego otrzymał. W mailu radosna informacja: mniej radosne może być zareagowanie na taki konkurs i wykonanie kolejnych akcji – w skrócie – czasem można stracić zawartość całego konta. Kolejne zgłoszenie to też nie jakaś super nową rzeczą (ale jak widać phishing ten jest…

Czytaj dalej »

Sylwia właśnie straciła 3500 PLN – a miała być tylko dopłata 76 groszy na OTOMOTO…

02 marca 2019, 11:48 | W biegu | komentarzy 9

Być może jest to w ostatnim czasie najskuteczniejszy skuteczny „przekręt” kończący się kradzieżą pieniędzy. Tym razem Sylwia skarży się na SMS-a od otomoto, w którym czytamy: Wczoraj wystawiłam samochód na otomoto.pl dzisiaj dostałam SMS do zapłaty jeszcze 76groszy po wpłaceniu z konta ściągnęli mi 3500,76 zł . Podali się za…

Czytaj dalej »

Za pomocą ataku na sieć telekomunikacyjną przechwytują SMSy autoryzacyjne do banku. Atak w UK na Metro Bank

31 stycznia 2019, 21:41 | W biegu | komentarze 2

SMS jako drugi czynnik uwierzytelniający transakcję w banku. To w zasadzie standard, który z kolejnymi latami okazuje się mniej odporny na ataki. Jednym z ataków jest tzw. SIM swap, inny – to wykorzystanie słabości protokołu SS7. Tego typu atak na sieć telekomunikacyjną potwierdzono właśnie w Wielkiej Brytanii. Celem był Metro Bank…

Czytaj dalej »

Kody 2FA, kody resetu hasła – 26 milionów SMS-ów mógł przeczytać każdy!

17 listopada 2018, 12:10 | W biegu | 0 komentarzy

Baza jednej z amerykańskich firm telco została zlokalizowana z wykorzystaniem… shodana. Żeby było ciekawiej, bez żadnego zabezpieczenia dostępna była w Internecie Kibana – czyli interfejs umożliwiający łatwe wyszukiwanie w Elasticsearch.  I dalej, znając już konkrety adres, każdy mógł realizować zapytania np. po numerach telefonu: Badacz, który odkrył problem uzyskał też…

Czytaj dalej »

Facebook miał dostęp do logów rozmów telefonicznych niektórych użytkowników

25 marca 2018, 10:04 | W biegu | komentarze 4

Facebook umożliwia przygotowanie pliku, w którym znajdziecie wszystkie (miejmy nadzieję) dane, które zebrał on o nas. Tego typu plik przygotował dla swojego profilu Dylan McKay i znalazł tam m.in logi rozmów telefonicznych (kto do kogo dzwonił, czas trwania rozmowy, status rozmowy): Podobnie zresztą było z SMS-ami – a Dylan od razu pisze,…

Czytaj dalej »

TP-Link M5350 wysyła hasło admina SMS-em – wystarczy ładnie zapytać :)

10 kwietnia 2017, 16:40 | W biegu | komentarze 2

Serwis Heise raportuje o dość interesującej podatności – wystarczy wysłać SMSa o odpowiedniej zawartości, a urządzenie odeśle na ten sam numer login / hasło admina oraz SSID również z hasłem sieci WiFi która jest stworzona na urządzeniu. Wystarczy jedynie znać… numer karty SIM umieszczonej w omawianym przenośnym hotspocie 3G TP-linka:…

Czytaj dalej »

SMS zagłady – DoSujący trwale kilka modeli Samsung Galaxy

28 stycznia 2017, 13:12 | W biegu | komentarze 2

Operacja wykorzystuje binarne SMSy, którymi transportuje pakiety WDP (Wireless Datagram Protocol). Jak się okazało, Samsungi procesują odpowiednio przygotowanego SMS-a (wykorzystującego protokół OMA CP) ignorując zupełnie kwestie uwierzytelnienia: As it turns out, our rig was able to send these messages to these devices and they were received and duly processed, despite no…

Czytaj dalej »

Jak nabić wysoki rachunek za telefon Microsoftowi/Instagramowi/Google? Microsoft: This was certainly a vulnerability, and a good one.

17 lipca 2016, 08:55 | W biegu | 0 komentarzy

Ciekawe badanie zgłoszone w ramach programu bug bounty. Pewnie kojarzycie miejsca, gdzie w ramach weryfikacji użytkownika wykonywane jest do nas zautomatyzowane połączenie telefoniczne? Arne Swinnen postanowił sprawdzić czy… podanie jednego z numerów premium spowoduje wykonanie połączenia właśnie tam. Okazało się, że…tak: Mała automatyzacja w burpie, i telefony się rozdzwoniły… ;-)…

Czytaj dalej »

Podatność w Androidzie – można wykradać SMSy – trudne do wykrycia

05 maja 2016, 22:00 | W biegu | komentarzy 7

Firma FireEye donosi o podatności w Androidzie (4.3, 4.4, 5.0), która została znaleziona w oprogramowaniu firmy Qualcomm (w ramach pakietu network_manager, który jest składnikiem Android Open Source Project). Podatność została wprowadzona aż w 2011 i przede wszystkich dotyka Androida 4.3 (ok 34% całej „populacji” Androida) – pozostałe systemy są podatne w mniejszym…

Czytaj dalej »