MMS信息欺骗攻击将影响全球

　　【TechTarget中国原创】在2009年的黑帽大会上年轻研究人员Zane Lackey和Luis Miras演示了对iPhone SMS的攻击。在这次演示中他们欺骗发送者并利用GSM运营商的网络的漏洞，在MMS信息回路绕过他们。

　　这种攻击可以潜在地使可以发送媒体文件的任意移动设备在GSM网络的任意位置都会受到欺骗、钓鱼网络和其他骗局的攻击。

　　研究人员播放了攻击的食品。他们模拟在iPhone上的攻击工具，向号码611的受害设备发送了信息，号码611通常是作为各自手机的客户服务部分的通讯的。利用用户对他们手机或者其他收信人的来源上的信息的信人，文本信息就可以发送了。在这种情况下，短信通知受害者，他或她获得了一个账户卡，并要求打开一个连接。从这里开始，受害者就被骗暴露敏感信息，例如他或她的拥护名、密码或者更多信息。

　　Lackey说：“人们对手机的信任要大于对邮件和其他方式的信任。如果我收到了可能来自手机号码的信息，非常可能的是我就会相信它了。”

　　使用Lackey和Miras的应用，攻击者可以控制信息的来源，以及时间标签。这就使他们可以预设信息发送的时间。

　　攻击的关键是攻击者绕过手机信息的能力。在正常情况下，MMS信息是由用户向他们的手机服务器发送的。手机可以处理内容，在需要的时候重新设定大小或检查垃圾信息。手机可以通知接受者的设备内容已经预备就绪。设备就可以连接到手机服务器并下载内容。有些手机自动选出空信息，其他的可以把信息呈现给用户，而用户必须点击才能接受信息。

　　Miras说，在攻击中，应用发送了一条在SMS上部运行的MMS信息，告知目标手机从攻击者的服务器上下载内容，而不是从手机上下载。通过欺骗用户的手机，就可以绕过保护措施。

　　Lackey说：“通知信息只有手机才会产生和发动。而我们只发送自己的。”

　　Crriers AT&T and T-Mobile Inc.运行GSM网络，这是世界范围内应用最多的移动网络标准。但是，不像在美国这么普及，因为AT&T目前不支持MMS信息，而竞争对手Verizon Wireless和Sprint使用基于CDMA标准的网络。这个问题在全球范围内都很受关注，GSM是全球无线网络的实际标准。

　　Lackey和Miras说他们已经和运营商共享了他们的发现，而他们不愿意透露运行商的名字。他们说运营商已经联系了GSM联盟，在把这个问题告诉联盟的会员。

　　还没有发布概念证明的代码，他们两个说他们正在等运营商配置架构不定。他们说移动手机的网络不能配置漏洞的补丁，因为漏洞存在于运营商的网络上，而不是在设备上。他们补充说同时运营商也在监控这种类型的攻击。

　　【美国TechTarget独家授权】 MMS messaging spoof hack could have global ramifications

　　【原创内容，版权所有，谢绝转载。TechTarget中国将保留追究其法律责任的权利。】