Spam Angriffe auf Smartphones möglich

Absenderdaten in MMS-Nachrichten fälschbar

Über die Manipulation der Kopfzeile eine MMS-Nachricht lässt sich der Absender verschleiern. Unter Umständen lassen sich sogar URLs einspeisen.

Laut einem Bericht von Michael Müller lässt sich durch die Manipulation einer MMS-Kopfzeile der Absender der Nachricht komplett verschleiern. Die neue Attacke wurde erfolgreich an folgenden Geräten getestet:

  • Blackberry (BB 8800 mit Firmware 4.5.0.37)

  • Windows Mobile (WM5, WM6, WM6.1, WM6.5)

  • Sony Ericson (W890i, W810i)

Als Proof-of-Concept wird ein Codeauszug angeführt, mit dessen Hilfe die PDU einer MMS-Nachricht entsprechend manipuliert wird. Dadurch lassen sich Absender und Betreffzeile der Nachricht beliebig manipulieren:

Sender: Evil H4x0r

Subject: got r00t?

Die Manipulation ist mit Werkzeugen wie pduspy (PDU Spy) oder HushSMS möglich. Eine weitere Gefahr sieht der Entdecker dieses Angriffs in der Einspeisung von URLs, die, je nach Konfiguration des Smartphones, unter Umständen vollautomatisch geöffnet und angezeigt werden. Tür und Tor für den Versand von Spamnachrichten per MMS sind damit geöffnet. (vgw)