Archiwa: gsm - Strona 9 z 19 - Pomiędzy bitami

13 marca, 201517 kwietnia, 2018

Kto zarabia na premium?

Wczoraj na portalu niebezpiecznik.pl pojawił się wpis o kolejnej metodzie nadużyć w usługach GSM. Tym razem nie jest wymagana żadna ingerencja ze strony ofiary, usługa jest włączana bez jakiegokolwiek potwierdzenia, wysyłana jest jedynie informacja o włączeniu usługi, ale tę łatwo przeoczyć, szczególnie, jeśli usługa nie jest wykorzystywana w telefonie, tylko urządzeniu służącym wyłącznie do połączenia z internetem.

Telefon komórkowy

Źródło: http://www.publicdomainpictures.net/view-image.php?image=692

Obserwuję sytuację z usługami premium od jakiegoś czasu i zastanawiam się, kto tak naprawdę za tym stoi^[1]. W przypadku SMS premium państwo na dzień dobry dostaje 23% podatku VAT, około połowy pozostałej kwoty trafia do kieszeni operatora GSM. Przypuszczam, że w przypadku pozostałych usług GSM jest podobnie. Kto płaci? Końcowy użytkownik, oczywiście.

Dlatego średnio wierzę w złych scamerów i wyłudzaczy, rejestrujących numer, tworzących usługę i wyprowadzających pieniądze. Nadużycia, podobnie jak zwykłe korzystanie^[2] na usługach premium GSM są na rękę i państwu, i – przede wszystkim – operatorom GSM. Parafrazując: gdyby scamerzy nie istnieli, należałoby ich wymyślić.

Bo przecież zabezpieczenie przed nadużyciami na kontach premium jest proste. Wystarczyłoby, żeby były domyślnie wyłączone, każdorazowe włączenie wymagało potwierdzenia i dodatkowo była wysyłana informacja (na wskazany numer/email) o włączeniu usługi premium.

Tymczasem UOKiK śpi, a operatorzy GSM implementują mechanizmy przyjazne nadużyciom, jak ten opisany w linku wyżej. Myślę, że poszkodowani w ten sposób powinni złożyć pozew zbiorowy. Z opisu wynika, że zabezpieczenia po stronie operatora są po prostu żadne. A możliwość wyłączenia usług tego typu przez wysłanie tajemniczego kodu na tajemniczy numer, oferowana przez niektórych(sic!) operatorów, to IMO jedynie iluzja możliwości zabezpieczenia – mało kto w ogóle się o tym dowie.

[1] Sformułowanie, które powinno zapalić lampkę ostrzegawczą o teoriach spiskowych. I słusznie. 😉

[2] Kolejny temat to jaki procent zwykłego korzystania (wróżki, idiotele) ociera się o wykorzystywanie naiwności ludzi, ale nie o tym miało być.

1 lutego, 201517 kwietnia, 2018

All your GSM numbers are belong to us!

Zaczęło się od wpisu Montera o skopanej wysyłce MMS do wielu osób. Long story short: jeśli wiadomość MMS jest wysyłana do kilku osób, to odbiorcy widzą wszystkie numery, na które została wysłana. Analogicznie jak przy wielu odbiorcach w polu To lub Cc w przypadku email (zamiast Bcc).

Telefon komórkowy

Źródło: http://www.publicdomainpictures.net/view-image.php?image=692

Moja teza jest jednak taka, że zjawisko, choć złe, nie jest aż tak tragiczne, na jakie wygląda. Odbiorca dostaje co prawda listę numerów z książki adresowej, ale nie wie do kogo należą i czy w ogóle działają. Może jedynie porównać tę listę ze znanymi sobie numerami i ustalić, jakich mają wspólnych znajomych. Albo zrobić brute force i dzwonić wszędzie (hell yeah, automaty tak robią podobno…).

Całe zdarzenie jest dla mnie porównywalne z listą PINów wszystkich ludzi na świecie (tak, wasz też tam jest, mój zresztą też), jeśli chodzi o naruszenie prywatności czy bezpieczeństwa. Postanowiłem więc zrobić listę wszystkich polskich numerów komórkowych. W trakcie tworzenia, już po pierwszym prefiksie zwątpiłem – plik miał około 100 MB surowych danych, do tego tagi HTML…

Zatem zamiast ryby – wędka i zestaw DIY do stworzenia listy wszystkich polskich numerów GSM. Na podstawie listy polskich prefiksów GSM przypisanych operatorom i odrobiny magii w Perlu, każdy może sobie wygenerować taką listę.

Blox nie lubi nawiasów ostrych, więc wklejka na zewnętrznym serwisie:

Całość działa tak długo, dopóki Wikipedia nie zmieni formatu publikowania artykułów. Klepnięte na kolanie, nieoptymalizowane w żaden sposób. U mnie wygenerowanie wszystkich numerów ww. skryptem trwa od dwóch do czterech minut. Have fun!

PS Wygląda, że w Polsce może być 110300000 numerów telefonów komórkowych. Nie odliczam niewykorzystanych prefiksów itp.

10 września, 201417 kwietnia, 2018

Smssender 0.9

Odezwał się użytkownik (ha! ktoś jednak tego używa! ;-)), że Mobitex przestał działać i zwraca status 104. Z racji niezbyt wczesnej pory lub po prostu zmęczenia[1], poszukałem pomocy nie u tego dostawcy, co trzeba. Ale albo statusy są zbieżne, albo dobry człowiek sprawdził we właściwej dokumentacji. Status 104, czyli brak zdefiniowanego From. Faktycznie, nie obsługiwałem tego. Tzn. była sobie zmienna w skrypcie, którą można było w skrypcie wyedytować. Niezbyt to piękne, więc w wersji 0.9 dodałem obsługę From w pliku konfiguracyjnym.

[1] Ślady zmęczenia widoczne w githubie, tak to jest jak się siada wieczorem do skryptu nietykanego od ponad roku.