Archiv verlassen und diese Seite im Standarddesign anzeigen : SMS Absendernummer einfach so fälschen?
Ich habe neulich hier im australischen Fersehn einen Bericht gesehen, in welchem gezeigt wurde, dass man mit einfachen Mittel (welche genau wurden nicht gezeigt) die Absenderadresse einer SMS fälschen kann.
Dies soll durch eine Lücke in der Implementierung des Protokolls möglich sein.
So haben die in der Sendung in einem Live-Test verschiedene Nachrichten mit falschen Absenderadressen abgeschickt, z.b. ein "Sorry John, but you are fired" mit der Nummer des Chefs des Fernsehsenders an einen Mitarbeiter in der Redaktion :freak:, usw.
Doch so irgendwie will ich das nicht glauben. Sowas sollte wenn es wirklich so einfach ist, doch schon vor langer Zeit behoben worden sein :confused:. Vielleicht liegts aber auch an den australischen Mobilfunkbetreibern und nicht am Standard selbst.
Weiß jemand was genaueres dazu?
Das hat nichts mit einem Implementierungsfehler zu tun, sondern ist ein beabsichtigtes Feature. Wenn ich bei manchen Onlineanbietern eine SMS verschicken will, kann ich das, was die meisten Mobiltelefone als Absender anzeigen, frei wählen. Man könnte dort problemlos eine andere Mobilfunknummer eintragen, wenn auch viele Anbieter die Angabe auf einen frei wählbaren Text ohne Verwechslungsgefahr mit einer Telefonnummer beschränken.
Ist ähnlich wie bei Emails, der "Absender" dort muss ebenfalls nicht im geringsten etwas mit dem tatsächlichen Versender zu tun haben. Sofern man sich dieser Tatsache bewusst ist, stellt das doch keinerlei Problem dar.
Ich glaube kaum, dass sich dessen wirklich so viele bewusst sind. Aber kann auch gut sein, dass das die dt. Netzanbieter rausfiltern.
Das hat nichts mit einem Implementierungsfehler zu tun, sondern ist ein beabsichtigtes Feature. Wenn ich bei manchen Onlineanbietern eine SMS verschicken will, kann ich das, was die meisten Mobiltelefone als Absender anzeigen, frei wählen. Man könnte dort problemlos eine andere Mobilfunknummer eintragen, wenn auch viele Anbieter die Angabe auf einen frei wählbaren Text ohne Verwechslungsgefahr mit einer Telefonnummer beschränken.
Ist ähnlich wie bei Emails, der "Absender" dort muss ebenfalls nicht im geringsten etwas mit dem tatsächlichen Versender zu tun haben. Sofern man sich dieser Tatsache bewusst ist, stellt das doch keinerlei Problem dar.
Naja gut, aber mal angenommen man hätte die Handynujmmern von zwei wichtigen Personen und schickt denen falsche Botschaften, dann könnte dies schon gefährlich werden. Zwei Politiker, eine Ehepaar, zwei Firmenchefs, usw.
Und auch unter dem Gesichtspunkt, dass teilweise SMSen als Beweismittel zugelassen sind... :confused:
=Floi=
2009-11-14, 05:26:05
bei einer sms als beweismittel hätte man ja auch einen legitimen absender, da die sms auf dessen rechnung steht.
Und auch unter dem Gesichtspunkt, dass teilweise SMSen als Beweismittel zugelassen sind... :confused:Aber doch niemals in der Form, dass ich einfach eine SMS auf meinem Handy präsentiere. Wenn dann höchstens auf Basis von Daten, die der Provider geliefert hat. Hier sieht die Sache dann schon wieder ganz anders aus. Der Personenkreis mit Manipulationsmöglichkeiten ist hier drastisch eingeschränkt und auch der Aufwand um ein Vielfaches höher.
Außerdem sollte man ein Medium wie SMS sowieso nicht für wichtige Nachrichten verwenden. Weder die Integrität, noch die Vertraulichkeit der Nachricht ist hier sichergestellt. Dazu kommt noch die Sache, dass auch eine wirksame Identifizierung des Absenders für den Empfänger mit normalem Handy nicht ohne weitere Maßnahmen möglich ist.
Ich glaube kaum, dass sich dessen wirklich so viele bewusst sind. Aber kann auch gut sein, dass das die dt. Netzanbieter rausfiltern.Textabsender filtern sie zumindest nicht. Wenn ich mir selbst über den T-Online-Dienst eine SM schicke mit der Email-Adresse als Absender, wird diese auch auf dem Handy angezeigt.
Klar, die Netzbetreiber könnten auch noch eine Whitelist für ihnen vertraute Server pflegen, die den Nutzer keine echten Nummern als Absender angeben lassen. Bei T-Online gibt es eben nur die Möglichkeit eine Email-Adresse oder eine generische T-Online-Nummer als Absender eintragen zu lassen. Afaik kommen die Kurznachrichten von 08/15-Anbietern mit frei wählbarem Absendertext aber auch problemlos so an.
haifisch1896
2009-11-14, 09:50:44
Das geht doch sogar im Telefonnetz.
Seit das Gesetz aktiv ist, wonach Callcenter nicht mehr anonym anrufen, bekomme ich mittlerweile Nummern angezeigt, wo es beim Rückruf dann "kein Anschluß unter dieser Nummer" heißt.
Bei Emails geht es ja auch recht einfach, den Absender zu fälschen.
Genauso wie bei Ethernetpaketen. Man braucht halt nur bissel Hintergrundwissen :).
KinGGoliAth
2009-11-15, 01:54:51
Das hat nichts mit einem Implementierungsfehler zu tun, sondern ist ein beabsichtigtes Feature. Wenn ich bei manchen Onlineanbietern eine SMS verschicken will, kann ich das, was die meisten Mobiltelefone als Absender anzeigen, frei wählen. Man könnte dort problemlos eine andere Mobilfunknummer eintragen, wenn auch viele Anbieter die Angabe auf einen frei wählbaren Text ohne Verwechslungsgefahr mit einer Telefonnummer beschränken.
Ist ähnlich wie bei Emails, der "Absender" dort muss ebenfalls nicht im geringsten etwas mit dem tatsächlichen Versender zu tun haben. Sofern man sich dieser Tatsache bewusst ist, stellt das doch keinerlei Problem dar.
finde ich auch sehr interessant. ich bin selber begeisterter nutzer der gmx free sms (10 stück pro monat....darum habe ich da auch 17 email adressen ;) ) und als absender kann man durchaus seine eigene handynummer angeben. wenn man dann an andere leute eine sms schickt wird wirklich meine nummer als absender angezeigt und man kann direkt darauf antworten und die antworten landen auch direkt auf meinem handy.
bei gmx wird das zwar mit bestätigungscode zuschicken gemacht, so dass du zugriff auf das handy bzw die simcard haben musst um den richtigen code für die eingegebene handynummer einzugeben aber wie man an der formulierung schon sieht: wenn du das handy deiner freundin zur hand hast kannst du auch ihre nummer angeben, schnell die sms mit dem bestätigungscode abfangen, eintragen und schon kannst du mit ihrer nummer als absender sms verschicken.
technisch wird man das wahrscheinlich nachvollziehen können, dass die sms nicht von ihrem handy kam, aber erklär das mal, wenn du dem chef eine beleidigung schickst oder - später dann- per sms mit ihrem neuen freund schluss machst. ;)
also ganz offensichtlich ist wirklich ein weg eingeplant um "unter falscher nummer" zu senden. man muss nur wissen wie der aussieht und wie man da reinkommt.
The_Strip
2009-11-16, 11:57:45
Bei GMX kann man ja auch einen eigenen Text als Absender eingeben, auch Ziffern...
Vor einer Weile war es möglich eine Telefonnummer einzutragen, die dann je nach Handy auch korrekt den Namen aus dem Telefonbuch zugeordnet wurde. Es gibt eine Längenbeschränkung, dadurch gingen nicht alle Nummern und auch eine "0" am Anfang war verboten, bei vielen Handys ging es aber eben doch.
Mittlerweile haben sie dem aber einen Riegel vorgeschoben.
da des ihmo keine möglichkeit gibt sicher die identität des absenders zu überprüfen funktioniert sowas hald. ist das selbe problem wie wirs momentan noch bei dns haben wo dnssec nicht vorankommt
YfOrU
2009-11-16, 15:50:33
Die Integrität der Telefonnummern ist mit der Einführung von Voipsystemen leider vollkommen obsolet geworden. Davor waren die technischen Hürden deutlich höher. Hier wurden bei der Regulierung des Marktes sowie der technischen Umsetzung grobe Fehler begangen.
Heutzutage kann praktisch jeder selbst Provider spielen, die Manipulation ist zwar selbstverständlich illegal, in der Praxis aber kaum mit größeren Risiken verbunden.
Während meiner Zeit bei einem Anbieter für professionelle TK-Lösungen war es quasi der Running Gag unter Kollegen. (Anruf in Abwesenheit, Rückruf -> Beate Uhse Kundenhotline :D)
Ausgehende Nummern lassen sich beliebig inklusive Ort/Mobil und Ländervorwahl maskieren. Es ist mir bis heute unverständlich warum das Feld für die übertragene Nummer überhaupt separat von der eigentlich registrierten Nummer zu belegen ist obwohl beide identisch sein müssen. Es ist schlichtweg unnötig denn Nummern lassen sich im Rahmen des eigenen Pools über Softwarelösungen wie Swyx beliebig einsetzen und maskieren.
Ein Beispiel wäre das jeder Callcenteranschluss über die gleiche ausgehende Nummer verfügt, trotzdem für spezielle Rückfragen jeweils eine eigene Durchwahl vorhanden ist.
Aufgrund dieser eklatanten Sicherheitslücke gibt es nun unzählige Voipsysteme die automatisch jeden bekannten Anschluss anklingeln und dabei mit einer Mehrwertnummer maskiert sind. Bei Rückruf Kasse. Der Witz dabei ist das durch die Maskierung für das reine anklingeln massenhaft und parallel billigste reguläre Nummern verwendet werden können. Weiter ist es auf diese Art möglich beide Systeme (Mehrwertdienst und Catcher) vollkommen unabhängig operieren zu lassen. Dadurch wird eine rechtswirksame Sperrung des eigentlichen Mehrwertdienstes weiter erschwert.
vBulletin®, Copyright ©2000-2024, Jelsoft Enterprises Ltd.