[Chaos CD][Datenschleuder] [73]
  [Chaos CD]
[Datenschleuder] [73] Spass mit Nokia - Denial of Service Attack für Mobiltelefone
[Gescannte Version] [ -- ] [ ++ ] [Suchen]  

Spaß mit Nokia - Denial of Service Attack für Mobiltelefone

Daß der nach eigenen Angaben größte Hersteller von Mobiltelefonen wirklich nette Taschenbeschwerer herstellt, die im Allgemeinen auch ziemlich gut funktionieren, dürfte den meisten von uns bekannt sein. Auch daß es da ein Modell gibt, das eben genau das manchmal nicht tut, und folglich seine Besitzer hauptsächlich mit der Frage quält, wann es wohl als nächstes abtürzen wird, hat sich mittlerweile herumgesprochen. Doch daß das Nokia 7110, um das es hier hauptsächlich gehen soll, sich remote rebooten läßt, ist schon weniger Leuten bekannt.

von: Djenja Robert S. Plaul
am: 12. Dezember 2000,

Grund dafür ist ein Fehler im Resolving-Algorithmus, der zu einer Nummer den dazugehörigen Namen im Telefonbuch heraussucht. Existieren zu einem Namen nämlich zwei identische Rufnummerneinträge, die außerdem jeweils mit einem "*" beginnen, so hängt sich das Telefon beim Auflösen der Nummer (ohne "*" versteht sich) auf. Dies betrifft alle Gelegenheiten, bei denen das Telefon versucht, statt einer Nummer einen Namen anzuzeigen, also Lesen von Kurzmitteilungen von dieser Nummer, Aufbau von Verbindungen zu dieser Nummer und natürlich ankommende Anrufe von dieser Nummer. Da der Algorithmus nur die letzten 7 Stellen vergleicht, kann es auch noch andere Nummern betreffen. Ankommende Anrufe von diesen Nummern werden nicht signalisiert und das Telefon begibt sich in einen extrem interessanten Modus: Während die Statusanzeige nichts erahnen läßt, bereitet sich das Telefon tief im inneren schon mal auf einen Reboot vor. Versucht man es dabei zu stören, etwa indem man Speicherfunktionen aufruft (Telefonbuch, Anruflisten, SMS), so bootet es auch sofort, ansonsten läßt es sich ca. eine Minute Zeit. Bei einigen Modellen kann es auch mal eine Viertelstunde sein, und einige Exemplare verweigern in dieser Zeit auch jegliche sonstige Kommunikation.

Nun mag dies alles recht wenig interessant klingen, denn wer hat schon so merkwürdige Einträge in seinem Telefonbuch? Nun ja, von selbst kommen die da nicht rein, aber vielleicht per SMS?

Smart Messaging

Um solche Dinge zu ermöglichen, hat Nokia das Smart Messaging erdacht. Jeder kennt die Visitenkarten, die sich nicht nur per IR, sondern auch als SMS verschicken lassen. Auch Logos und Klingeltöne werden so verschickt. Wir haben uns im Zusammenhang mit dem oben beschriebenen Bug etwas mit Smart Messaging beschäftigt und wollen Euch heute am Beispiel der Compact Business Cards einen kleinen Einblick geben.

Die Telefone verschicken Business Cards normalerweise im standardisierten vCard-Format. Ja, genau, das ist das, was der Netscape Messenger manchmal mitschickt. Das Format funktioniert leider nicht, wenn man es selbst schreibt, da es von 8-Bit-Übertragung der SMS und dem User Data Header abhängig ist. Text-SMS werden aber normalerweise nur im 7-Bit-Format übertragen.

Doch fuer Business Cards gibt es noch ein anderes in den Smart Messaging Specifications festgelegtes Format, das sich auch mit dem in eurem Telefon eingebauten Gimmick-Parser verschicken läßt. Das Format ist ziemlich simpel und geht so (<lf> = Line feed); Schlüsselwörter sind grundsätzlich case-sensitive.)

      Business Card<lf>
      <name><lf>
      <company><lf>
      <title><lf>
      <phone><lf>
      <fax><lf>
      <email><lf>
      <postal-address><lf>
    

Alle Felder, die in der Mitte leergelassen werden sollen, müssen trotzdem mit <lf> abgeschlossen werden. Alle am Ende leergelassenen felder können weggelassen werden. Der Aufbau von <phone> und <fax> ist tel <telefonnummer> bzw. fax <faxnummer> wobei auch mehrere durch <lf> getrennte Zeilen exitieren können. Beispiel: Business Card<lf> T-0190-Info<lf> <lf> <lf> tel +49130190190<lf>

Einziges Problem ist, daß man Nokia-Telefonen normalerweise kein Linefeed eingeben kann. Doch z.B. mit dem Palm-Programm "SMS Monkey Messenger" lassen sich selbst in der Shareware-Demo-Version genug LFs per IR zum Telefon schicken.

Nokia Attacks!

Doch kehren wir zurück zum Ausgangspunkt dieses Berichtes: Wir wollten ja ein Telefon remote rebooten.

Stellen wir uns einmal folgendes Beispiel vor: Angreifer A schickt Opfer O direkt oder über einen FreeSMS-Dienst Business Card vom folgenden Format:

      Business Card<lf>
      Claudia<lf>
      <lf>
      <lf>
      tel *0172xxxxxxx<lf>
      tel *0172xxxxxxx<lf>
      [email protected]<lf>
    

O empfängt die Visitenkarte und denkt sich "Wer auch immer Claudia ist, vielleicht kann ich die Nummer ja mal gebrauchen" und speichert sie ab. Kurze Zeit später ruft A von einem beliebigen Telefon, das xxxxxxx als letzte Stellen der abgehend übermittelten Rufnummer hat, bei O an. Und drei Minuten später wieder. Und wieder. O bekommt von den Anrufen nichts mit, da das Telefon ja nichts anzeigt. Vielleicht bemerkt er noch nicht einmal, daß sein Telefon regelmäßig rebootet und dadurch fast die ganze Zeit nicht erreichbar ist. Ist O beruflich von Erreichbarkeit abhängig, so kann das böse Folgen haben. Wenn A auch noch eine SMS von einer xxxxxxx-Nummer aus an A schickt, kann O keine SMS mehr lesen, bis er den Eintrag im Telefonbuch gelöscht hat.

Da für xxxxxxx-Nummern keine Einträge in der Anruferliste angelegt werden, wird O auch nie erfahren, von welcher Nummer A anruft, denn A verwendet natuerlich_nicht_ die 0172xxxxxxx. Findet O tatsächlich den Telefonbucheintrag, so fällt der Ärger womöglich noch auf den Besitzer der D2-Nummer zurück.

Betrifft's mich?

Der Bug wurde uns mittlerweile von vielen Leuten bestätigt. Allerdings kursierte die Meinung er beträfe nur ältere Telefone. Nun ja, zumindest mit von uns getesteten 7110ern mit den Softwareversionen 4.80, 4.84, 4.88 und 5.00 hat alles problemlos funktioniert. Auch ein 6210 mit V4.08 war betroffen. Man bedenke, daß die Version 5.00 erst wenige Wochen alt ist. Bedanken wir uns bei Nokia !

Wir werden uns weiter mit Smart Messaging beschäftigen und bei Interesse (hoffentlich) in der nächsten DS weiter berichten. Weitere Informationen zu Smart Messaging finden sich in den Smart Messaging Specifications, die man im Developer-Bereich von [Externer Link]http://www.forum.nokia.com/ findet. Feedback zum Artikel an [Mail][email protected].

 
  [Chaos CD]
[Datenschleuder] [73] Spass mit Nokia - Denial of Service Attack für Mobiltelefone
[Gescannte Version] [ -- ] [ ++ ] [Suchen]