Отказ в обслуживании при обработке SMS сообщений в телефонах Nokia

[Umnik 997]

Источник.

Программа:

Nokia E61

Nokia E90

Nokia E71

Nokia N73

Nokia 6120 classic

Nokia S60 2.6, 2.8, 3.0 и 3.1

Опасность: Низкая

Наличие эксплоита: Да

Описание:

Уязвимость позволяет удаленному пользователю произвести DoS атаку.

Уязвимость существует из-за ошибки при обработке SMS сообщений. Удаленный пользователь может с помощью SMS сообщения, содержащего специально сформированный email адрес длиной более 32 символов, отключить последующее принятие SMS/MMS сообщений устройством. Пример email адреса:

"123456789@123456789.1234567890123 "

URL производителя: europe.nokia.com

Решение: Способов устранения уязвимости не существует в настоящее время.

Журнал изменений:

12.01.2009

Изменено описание уязвимости, добавлен PoC код.

URL адреса:

• https://berlin.ccc.de/~tobias/cos/s60-curse...ce-advisory.txt

[Viktor 669]

Руки бы переводчику оторвал, надо же настолько все исказить. Даже слов нет...

[Umnik 997]

А можно подробнее?

[Viktor 669]

А можно подробнее?

Там же есть ссылка на первоисточник, читайте

Добавлено: Вот, кстати, для жаждущих ссылка на бесплатную лечилку от Fortinet

[Umnik 997]

У меня ссылка на первоисточник на секлабе отказалась показать источник просто.

[EvGeNy4 0]

У меня вот Nokia N73 и что мне делать ? как вылечиться ?

[Viktor 669]

У меня вот Nokia N73 и что мне делать ? как вылечиться ?

Установите себе толковый антивирус, либо воспользуйтесь бесплатной утилитой, ссылку на которую я дал тремя постами выше.

[EvGeNy4 0]

Установите себе толковый антивирус, либо воспользуйтесь бесплатной утилитой, ссылку на которую я дал тремя постами выше.

Ну антивирусник кажется у меня есть, будет работать еще 30 дней а там и новое тестирование не за горами

[Viktor 669]

В сетке уже активно распространяются тулзы для рассылки curse-sms

[Viktor 669]

Nokia выпустила бесплатную лечилку: SMS Cleaner

[Valery Ledovskoy 1082]

Viktor, какая разница, где обсуждать тему?

Но раз хотите здесь, ладно. Заодно структурирую всё.

Начало Вы дали здесь:

http://www.anti-malware.ru/forum/index.php...ost&p=54057

Итого, следущие исходные данные.

1. После попытки приёма SMS-сообщения, содержащих e-mail длиннее 32 символов, некоторые телефоны перестают принимать и отправлять SMS-сообщения.

2. Такие SMS-сообщения некоторыми специалистами считаются эксплойтом.

3. Такие SMS-сообщения блокируются некоторыми антивирусами как вредоносные, несмотря на то, в какой системе работает антивирус.

4. e-mail, состоящие из более чем 32 символов, существуют, работают, удовлетворяют соответствующим RFC.

5. Доля телефонов с ОС Symbian на сегодняшний момент постепенно снижается, соответственно, большинство телефонов, способны принимать SMS-сообщения, содержащие "длинный" e-mail.

Я считаю, что не дело антивируса блокировать такой "эксплойт", да ещё и с уровнем опасности "низкая". По крайней мере, ситуация весьма спорная и неоднозначная. Необходимо найти грань между понятиями "эксплойт" и "баг".

Речь идет об уязвимости, существовавшей на протяжении многих лет, за это время вышли сотни новых телефонов, выпускать для каждого из них новую прошивку никто не будет. Вы предлагаете просто "забить"?

Новые прошивки для большинства телефонов появляются и без этого эксплойта. Наверняка, в новых прошивках данный баг был исправлен. Но антивирус будет продолжать резать эти вполне легитимные сообщения.

[Valery Ledovskoy 1082]

Насколько я вижу, данная "уязвимость" называется в англоязычных источниках не иначе как "Curse of Silence" bug. Это раз.

The real solution to the problem would be a firmware update for all affected devices.

© http://www.symbian60.mobi/en/2009/01/03/ak...rse-of-silence/

Это два.

А то тут всё некоторым участникам кажется, что я глупости пишу какие-то или мне делать нечего...

Антивирусы рассматриваются максимум как временная мера до апдейта прошивки.

[Guest Просто_Юзер]

Не знаю как,но это и из интернета как я понял можно осуществлять отправку?

Если да - то тут почти и тулзы не нужны...ппц.

[Viktor 669]

Viktor, какая разница, где обсуждать тему?

Но раз хотите здесь, ладно. Заодно структурирую всё.

Большая, не нужно смешивать все в одну кучу. Сам по себе "Curse of Silence" - одна из множества песчинок и зацикливаться на ней в контексте обсуждая вопроса необходимости антивирусов для смартфонов, я не вижу никакого смысла.

Итого, следущие исходные данные.

1. После попытки приёма SMS-сообщения, содержащих e-mail длиннее 32 символов, некоторые телефоны перестают принимать и отправлять SMS-сообщения.

Не только sms, но и другие виды сообщений

2. Такие SMS-сообщения некоторыми специалистами считаются эксплойтом.

Да, например, F-Secure, см. здесь

3. Такие SMS-сообщения блокируются некоторыми антивирусами как вредоносные, несмотря на то, в какой системе работает антивирус.

Способов реакции на такие сообщения несколько. Можно удалять, можно модифицировать, например, обрезая адрес отправителя (согласитесь, если убрать super-puper из Вашего адреса, получатель все-равно Вас узнает). Какой способ реакции выбирает конкрентный вендор, я обсуждать не собираюсь, ибо все это неминуемо скатится до уровня "ах так, ваш продукт такой-сякой, зачем он делает то-то и то-то...", опускаться до подобного уровня я не намерен.

5. Доля телефонов с ОС Symbian на сегодняшний момент постепенно снижается, соответственно, большинство телефонов, способны принимать SMS-сообщения, содержащие "длинный" e-mail.

Мы же говорим об антивирусе для смартфонов, при чем тут большинство других телефонов?!

Я считаю, что не дело антивируса блокировать такой "эксплойт", да ещё и с уровнем опасности "низкая". По крайней мере, ситуация весьма спорная и неоднозначная. Необходимо найти грань между понятиями "эксплойт" и "баг".

Вы что, еще и вирусный аналитик?! Если так, то Вы должны понимать, что и как можно "докрутить" и как использовать этот "баг"...

Новые прошивки для большинства телефонов появляются и без этого эксплойта.

Можете пальцем показать на эти "новые прошивки для большинства телефонов"? Не можете? Тогда и не пишите больше об этом!

Не знаю как,но это и из интернета как я понял можно осуществлять отправку?

Если да - то тут почти и тулзы не нужны...ппц.

Именно так

[Valery Ledovskoy 1082]

Сам по себе "Curse of Silence" - одна из множества песчинок и зацикливаться на ней в контексте обсуждая вопроса необходимости антивирусов для смартфонов, я не вижу никакого смысла.

Тогда сразу бы и предложили в той теме перейти с этим сюда, чтобы не было общего контекста.

Ладно, проехали.

Не только sms, но и другие виды сообщений

Плохая бага, очень плохая.

Какой способ реакции выбирает конкрентный вендор, я обсуждать не собираюсь, ибо все это неминуемо скатится до уровня "ах так, ваш продукт такой-сякой, зачем он делает то-то и то-то...", опускаться до подобного уровня я не намерен.

Ну почему же? Я думаю, всем интересно, что предлагает, например F-Seucure и ЛК для решения данных вопросов. Возможно, Вам известно, что делают другие вендоры. Если Вы перечислите несколько подходов (с указанием кто из вендоров как поступает), а также обоснуете подход, реализованный в Вашем продукте, то дискуссия только обретёт конструктивность. И что значит "опускаться до такого уровня"? Мою переписку минимум искажают, а максимум блокируют. Ничего себе "опускаться".

Вы что, еще и вирусный аналитик?!

Всё Вам расскажи и доложи И на дуде игрец тоже Я говорю о том, что называя эксплойтом вполне легальное сообщение, но на котором "спотыкаются" телефоны, Вы ущемляете мои права как пользователя. А антивирус должен помогать (ибо гарантировать по определению не может), но не вредить. Термин "эксплойт" несёт в себе явно негативный оттенок, обычно под ним понимаются сэмплы, которые изначально создавались с вредоносной целью. Если же я отправляю свой E-mail, то какой же это эксплойт?

согласитесь, если убрать super-puper из Вашего адреса, получатель все-равно Вас узнает

Да, но адрес целиком он не получит и не сможет мне написать письмо. super-puper было для того, чтобы набрать более 32 символов. Хорошо, вот другой пример: ivanov.ivan.ivanovich@buh.ktg.gazprom.ru . 40 символов. Думаете, не может такого быть? Да бывает и не такое.

Виктор, я не говорю о том, что антивирусы поступают плохо. Я просто хочу указать на явную неопределённость и неоднозначность в плане вмешивания антивируса для защиты пользователей от данного конкретного "эксплойта". Здесь нужно понять, есть ли необходимость защищать пользователя настолько, чтобы он мог лишиться потенциально полезной информации? И ещё один вопрос - должен ли пользователь такого антивируса иметь возможность выбирать - защищаться ли ему с помощью антивируса от данного эксплойта или нет? Ведь пользователь может поставить прошивку, которая исправляет баг. А антивирусу это до лампочки - всё также будет "защищать" от угрозы, которой уже не существует (в данном случае в прямом смысле не существует).

Ну и наконец...

Можете пальцем показать на эти "новые прошивки для большинства телефонов"? Не можете? Тогда и не пишите больше об этом!

Ой, как грубо. Появляются, появляются. Довольно регулярно, насколько вижу:

http://allnokia.ru/firmware/

[Обычная серость 5]

Господа, не ссорьтесь.

данная уязвимость, на данный момент, до выпуска Nokia апдейтов прошивок для затронутых телефонов, блокируется на уровне ОСС.

Спите спокойно

[Viktor 669]

Господа, не ссорьтесь.

данная уязвимость, на данный момент, до выпуска Nokia апдейтов прошивок для затронутых телефонов, блокируется на уровне ОСС.

Спите спокойно

Вы знаете хотя бы одного ОпСоСа, который блокирует подобные сообщения?! Я - нет, более того, я уверен, что их нет и не будет

[Обычная серость 5]

Вы знаете хотя бы одного ОпСоСа, который блокирует подобные сообщения?! Я - нет, более того, я уверен, что их нет и не будет

на что будем спорить?

P.S. вам не кажется, что вы слишком часто употребляете "!?" в своих сообщениях?

[Viktor 669]

на что будем спорить?

Спорить не собираюсь, ни дураком, ни подлецом быть не хочу. Если у Вас есть хотя бы один пример - постите. Я сниму перед Вами шляпу и постараюсь договориться с Валерием, пусть позвонит и разберется, почему до него не доходят "легальные сообщения"

P.S. вам не кажется, что вы слишком часто употребляете "!?" в своих сообщениях?

Нет

[Обычная серость 5]

по той бумажной информации, что у меня есть хронология такая:

31 декабря 2008 г. Nokia разослала ОСС сообщение о проблеме с инструкциями "что делать"

7 января 2009 г. немецкий T-mobile начал фильтровать смс по инструкциям от Nokia

до конца января планировалось, что все немецкие операторы установят подобные фильтры + датские TDC, Telia DK, Sonofon(Telenor), 3.

об отчетах по выполнению и дальнейших операторах не знаю, т.к. перестал следить за проблемой.

[Viktor 669]

по той бумажной информации, что у меня есть хронология такая:

31 декабря 2008 г. Nokia разослала ОСС сообщение о проблеме с инструкциями "что делать"

7 января 2009 г. немецкий T-mobile начал фильтровать смс по инструкциям от Nokia

до конца января планировалось, что все немецкие операторы установят подобные фильтры + датские TDC, Telia DK, Sonofon(Telenor), 3.

о планах по выполнению и дальнейших операторах не знаю, т.к. перестал следить за проблемой.

Мне кажется, что все будет интересно, если Вы нам поподробнее расскажите, что это за бумажная информация, почему Нокия выбрала Германию и Данию, в чем заключается инструкция, да и вообще Вам неплохо было бы представиться

[Обычная серость 5]

Мне кажется, что все будет интересно, если Вы нам поподробнее расскажите, что это за бумажная информация, почему Нокия выбрала Германию и Данию, в чем заключается инструкция...

под бумажной информацией я подразумевал всего лишь информационный листок. В чём заключаются конкретные инструкции от Нокиа не знаю, да и знал бы, извините не сказал бы, до их публичной публикацией самой Nokia.

почему выбрали Германию и Данию? не знаю, хотя думаю, что разослали многим, но озаботились скорее всего те, у кого больше всего пострадали пользователи.

нашел ссылку в свободном доступе, правда она, извините, на датском

T-Mobile har nu installeret et filter, som forvandler farlige sms´er til harmløse. Og herhjemme melder TDC, Telia, Sonofon og 3, at de har gjort det samme.

в моем вольном переводе это звучит так: T-mobile уже установила фильтр, удаляющий данные смс. Наши домашние операторы TDC, Telia, Sonofon и 3 занимаются этим. Новость датирована 20 января.

[Viktor 669]

под бумажной информацией я подразумевал всего лишь информационный листок. В чём заключаются конкретные инструкции от Нокиа не знаю, да и знал бы, извините не сказал бы, до их публичной публикацией самой Nokia.

почему выбрали Германию и Данию? не знаю, хотя думаю, что разослали многим, но озаботились скорее всего те, у кого больше всего пострадали пользователи.

нашел ссылку в свободном доступе, правда она, извините, на датском

в моем вольном переводе это звучит так: T-mobile уже установила фильтр, удаляющий данные смс. Наши домашние операторы TDC, Telia, Sonofon и 3 занимаются этим. Новость датирована 20 января.

Все это вызывает одни лишь вопросы. Удалять все подобные сообщения в смс-траффике, с моей точки зрения, решение не самое неудачное. Валерий может звонить в T-Mobile и грозить судом.

[Valery Ledovskoy 1082]

Валерий может звонить в T-Mobile и грозить судом.

Всё же понимаете, о чём толкую. Это хорошо

Да, резка подобных сообщений на уровне операторов - это вообще ни в какие ворота.

Непонятно, почему в этот раз нигде не видно, что Нокия стремится исправить проблему на уровне прошивок. Делает какие-то полумеры типа утилит (хорошо, конечно, но недостаточно).

Столкнулся с новостью по эксплойту в Нокиях же за 2001-ый год (именно эксплойту, потому что там создавалось специально подготовленное сообщение из абракадабры), и тогда проблема решалась именно срочным выпуском обновления прошивок.

Виктор, у Вас какие-либо идеи есть?

Может, это какой-то карт-бланш для производителей антивирусов для мобилок?

Т.е. я о том говорю, что ситуация похожая, а меры другие.

[Обычная серость 5]

Да, резка подобных сообщений на уровне операторов - это вообще ни в какие ворота.

по-моему, вы всё же не правы.

Оператор, как вы понимаете, в большинстве случаев способен определить модель вашего телефона.

Поэтому для обычных телефонов ничего блокироваться не будет, для попадающих в чёрный список - будет.

Возможно, тут и есть некие этические моменты, но я в подобных дискуссиях не силён