Mobilen er sårbar mot avlytting

Mobiltelefoner ikke sikret mot falske tekstmeldinger skriver Techworld.

Det eneste du gjør er å akseptere en tekstmelding som ligner en oppdatering fra din mobiloperatør. Det hevder sikkerhetseksperten Wilfried Hafner.

Mange mobilselskaper anvender i dag tekstmeldinger til å sende konfigurasjonsinnstillinger til kundenes mobiltelefoner, for eksempel ved oppsett av gprs og mms. På samme måte er det mulig å sende en trojaner som avlytter samtaler eller leser og kopierer meldinger, ifølge Hafner, som jobber i det tyske firma SecurStar.

Hafner har hacket sin egen mobil med metoden, og vist dette frem blant annet på et seminar i München. Ved hjelp av en service-sms greier han å omprogrammere mobilen. Trojaneren Rexspy kopierer alle tekstmeldinger og åpner mobilen for avlytting, uten at noen legger merke til det.

Avlytting skjer ved å sette samtalen over på en konferansesamtale med en gang noen snakker i telefonen.

Dårlig sikkerhet

Sikkerhetshullet kan medføre angrep som når ut til titalls millioner mobilbrukere verden over. Men eksperten vet ikke hva må til for å gjennomføre et angrep på en slik størrelse.

Alt dette er mulig fordi mobiltelefoner ikke kontrollerer, hvem som er avsenderen av sms-er.

Operatørene bruker nemlig ikke noen form for digitale signaturer, og det gjør det i prinsipp mulig for hvem som helst å sende en sms som påvirker telefonens programmer, mener Hafner.

- Jeg oppdaget det på en vanlig c45 Siemens telefon. Senere forsøkte jeg med en Nokia E90 og en Qtek med Windows Mobile 2005. Ingen verifiserte avsenderen av service-tekstmeldinger. Jeg kan ikke forstå, at ingen har tenkt på dette tidligere, sier Hafner til Techworld.

Les mer om mobilsikkerhet i Kunnskapssenter