De sms-bom werkt op diverse toestellen van verschillende fabrikanten. De Duitse security-onderzoekers, van de technische universiteit van Berlijn, hebben hun malafide sms-berichten succesvol getest op mobiele telefoons van onder meer Nokia, LG, Sony Ericsson, Samsung en Motorola.

Wereldwijd probleem

Hackers Nico Golde en Collin Mulliner hebben reguliere telefoons, zogeheten feature phones, onderzocht op zwakke plekken. Daarvan hebben zij er diverse gevonden, in de mobiele toestellen van de grote fabrikanten. “Elk van hun heeft problemen.”

Afgelopen week hebben zij dit getoond op CanSecWest. Hun ‘sms of death’ is eind december al onthuld op de Duitse tegenhanger Chaos Communication Congress (CCC).

Eigen gsm-netwerk

De op CanSecWest getoonde aanvallen van de twee hebben uiteenlopende gevolgen. Van het onderbreken of afkappen van telefoongesprekken, tot het offline gooien van toestellen en het op afstand laten vastlopen van telefoons. Bij de laatstgenoemde mogelijkheid kan het toestel ook volledig worden 'gebrickt'; het kan crashen waarna geen herstel meer mogelijk is. Dit is gedaan met een Sony Ericsson-toestel en een LG-telefoon via het MMS-meldingssysteem.

Voor deze sms-aanvallen is het wel nodig om een eigen gsm-netwerk op te zetten. Dat hoeft echter niet in de nabijheid van de slachtoffers te gebeuren. Het eigen gsm-netwerk draait op een gewone laptop, met de basisstation-software OpenBSC. De malafide sms’jes werken zonder dat de telefoongebruiker iets hoeft te doen, en de berichten zijn ook niet zichtbaar in het log van het toestel.

Smartphones

De onderzoekers hebben hun ontdekkingen nog niet getest op smartphones, omdat er met gewone telefoons een veel grotere doelgroep valt te bereiken, schrijft securitynieuwssite ThreatPost van securityleverancier Kaspersky. “Maar 16 procent van alle telefoons zijn smartphones”, schrijven de twee bij de aankondiging van hun CCC-presentatie.

Golde en Mulliner hebben eerder al sms-aanvalsmethodes ontwikkeld voor smartphones, zoals Apple’s iPhone maar ook voor toestellen draaiend op Google’s Android. Ook het oudere Windows Mobile, met de TouchFlo gui (grafische gebruikersinterface) van toestelmaker HTC is eerder al neergehaald met een sms-bom.

De ‘sms of death’ gedemonstreerd op de Duitse security-conferentie CCC: