WAP-Push SMS

VEKTOR:B05

Durch das Wireless Application Protokoll (WAP) kann in einer SMS auch eine „Uniform Resource Identifier“ (URI) versendet werden.

Details:

Dieser sogenannte WAP-Push kann ein Link auf eine Internetseite oder auch auf eine ausführbare Datei sein. Bei GPRS, EDGE oder UMTS werden „Service Indication“ (SI), „Cache Operations“ (CO) und „Service Loading“ (SL) anstatt SMS verwendet, um einen WAP-Push vom Server an den Client zu senden. Der Nutzer sieht keinen Unterschied, ob es sich um eine normale SMS handelt oder um einen WAP-Push. Bei der Verwendung eines „Service Load“ kann vom Nutzer unbemerkt ein Installationsprozess angestoßen werden.

Quellen/Links:

Spezifikation von WAP 1.0, 1.1 und 1.2 durch WAPforum.org

Kategorien:

WAP Billing

Beim Aufrufen einer WAP-Seite (Wireless Application Protocol) sendet das Smartphone seine MSISDN (Mobile Subscriber Integrated Services Digital Network Number) and den Betreiber dieser Webseite.(auch WAP Billing genannt) Dieser kann die Information

Synchronisation PIM-Daten

Bei der Synchronisation von E-Mail-Konten, Kalendern, Kontakten und anderen Dateien könne Sicherheitsrisiken bestehen.

Entladen des Akkus

Wird durch eine Kombination aus verschiedenen Angriffs-Vektoren auf zwei Ebenen realisiert. [1]

WAP-Gateway

Informationen über das Smartphone können am WAP-Gateway abgefragt werden.

MMS im Klartext

Keine Verschlüsselung vorgesehen. [1,2]

MMS Authentifizierung

Auch beim MMS-Dienst authentifizieren sich Absender und MMS-Center nicht. [1,2]

USSD, GSM und MMI Codes

Ein Sicherheitsproblem entsteht zum Beispiel, wenn dieser Code ohne Wissen des Nutzers ausgeführt wird.

SMS Botnetz

Ein anderes Szenario, das verschiedenen Schwachstellen kombiniert, wird von Georgia Weidman als „Bot-Netzwerk für Smartphones“[1] beschrieben.

SMS Injection

SMS-Injection wurde in einer Sicherheitsanalyse von Collin Mulliner und Charlie Miller[1] beschrieben. Sie versendeten eine SMS, von einem Endgerät, direkt an das Endgerät.

Stille SMS

Eine Stille SMS (Silent SMS, Stealth-SMS) ist für den Empfänger nicht zu erkennen. (nicht auf dem Display angezeigt und auch kein akustisches Signal). Wie bei einem Ping auf eine Netzwerkadresse, antwortet das mobile

« SMS MO-MT

Flash SMS »