SMS-Authentifizierung

VEKTOR:B01

Eine Identifikation ist nur durch die Telefonnummer des Absenders möglich. So können SMS unter falschem Namen versendet werden (Phishing/Spoofing).

Details:

Zur Identifizierung wird die Telefonnummer des Absenders verwendet, was aber beim Senden einer SMS im PDU-Format frei eingetragen werden kann.

Quellen/Links:

ETSI Standard GSM 04.11, GSM 03.40 und 3GPP TS 24.011 V11

Kategorien:

WAP Billing

Beim Aufrufen einer WAP-Seite (Wireless Application Protocol) sendet das Smartphone seine MSISDN (Mobile Subscriber Integrated Services Digital Network Number) and den Betreiber dieser Webseite.(auch WAP Billing genannt) Dieser kann die Information

Synchronisation PIM-Daten

Bei der Synchronisation von E-Mail-Konten, Kalendern, Kontakten und anderen Dateien könne Sicherheitsrisiken bestehen.

Entladen des Akkus

Wird durch eine Kombination aus verschiedenen Angriffs-Vektoren auf zwei Ebenen realisiert. [1]

WAP-Gateway

Informationen über das Smartphone können am WAP-Gateway abgefragt werden.

MMS im Klartext

Keine Verschlüsselung vorgesehen. [1,2]

MMS Authentifizierung

Auch beim MMS-Dienst authentifizieren sich Absender und MMS-Center nicht. [1,2]

USSD, GSM und MMI Codes

Ein Sicherheitsproblem entsteht zum Beispiel, wenn dieser Code ohne Wissen des Nutzers ausgeführt wird.

SMS Botnetz

Ein anderes Szenario, das verschiedenen Schwachstellen kombiniert, wird von Georgia Weidman als „Bot-Netzwerk für Smartphones“[1] beschrieben.

SMS Injection

SMS-Injection wurde in einer Sicherheitsanalyse von Collin Mulliner und Charlie Miller[1] beschrieben. Sie versendeten eine SMS, von einem Endgerät, direkt an das Endgerät.

Stille SMS

Eine Stille SMS (Silent SMS, Stealth-SMS) ist für den Empfänger nicht zu erkennen. (nicht auf dem Display angezeigt und auch kein akustisches Signal). Wie bei einem Ping auf eine Netzwerkadresse, antwortet das mobile

« A3/A8 Implementierung

IMSI Catcher (fake Basestation) »