Hola a tod@s!
Llega un nuevo año, cargado de ilusiones, buenos propósitos, compañerismo, signos de amistad….. Y vulnerabilidades, exploits, advisories, etc…
Y esta es de las gordas, porque llega en unas fechas señaladas para su utilización.
Tobias Engel, que no hace mucho ha participado en el Chaos Communication Congress presentó hace unos días una vulnerabilidad en ciertos modelos de Nokia, la cual puede ser explotada masivamente y sin muchos conocimientos sobre arquitectura. Lo peor de todo es que no es necesario la instalación de una aplicación específica, ya que incluso con modelos antiguos de Nokia se puede llevar a cabo el ataque.
El ataque es de lo más sencillo, y tan sólo le costaría al atacante el dinero con el que manda los SMS de la muerte.
Ciertos mails pueden ser enviados via SMS estableciendo que el protocolo a utilizar sea Internet Electronic Mail. Una vez realizado el cambio, se formatea el texto del mensaje tal que así:
<email-address><space><message body>
Si el contenido del mensaje contiene un campo <email-address> con más de 32 caracteres, algunas versiones de teléfonos Nokia no podrán recibir más SMS o MMS nunca más, a menos que al teléfono se le realice un «fuego purificador». Depende de la versión de sistema operativo que tengamos en el teléfono, éste se comportará de diferente manera. En los links externos finales tenéis el aviso que explica el comportamiento y los modelos afectados, que no son pocos.
Tobias ha realizado un vídeo explicativo sobre el ataque en cuestión. El vídeo se ha subido a YouTube:
La noticia, la cual ha sido verificada por F-Secure, establece que el exploit de momento no se está utilizando de forma masiva, pero que después de lo acontecido, no saben como responderá el «público».
Por otra parte, y viendo la que se avecina con las fiestas, no es de esperar que cientos de miles de millones de SMS circulen por la red, así que… no está de más prevenir que curar.
La forma de actuar es bien sencilla, pero bastante jodida. O lo llevas a la casa del fabricante, o realizas un Hard Reset al aparato en cuestión, con el código siguiente:
*#7370#
Pero no todo son malas noticias. La empresa Fortiguard, ha liberado no hace mucho una herramienta llamada FortiCleanUp, la cual, instalada en los modelos de Nokia afectados, es capaz de limpiar el susodicho sin tener que realizar al teléfono un hard reset, ni llevarlo al fabricante.
Así que ya sabéis, sed cuidadosos, y no hagáis bromitas…. Que el día de los inocentes pasó!
Tenéis más información en los enlaces externos
Saludos a tod@s!
Enlaces externos:
http://www.fortiguardcenter.com/mobile/cleanup.html
http://berlin.ccc.de/~tobias/cos/s60-curse-of-silence-advisory.txt
http://berlin.ccc.de/~tobias/cos/s60-curse-of-silence-demo.avi
El diario de Juanito 
Jejejeje… que guay que comentes cosas de seguridad mobile 🙂
Hola tio,
Solo un pequeño apunte, para symbian S40 y S60. soft reset code *#7370# ; hard reset code *#7780#
Un abrazo!!