www.MegaLab.it

[hashcat]

Prendendo spunto dal "trucchetto" identificato durante l'analisi di QUESTA truffa, ho notato che è possibile comporre (ma non inviare automaticamente) un messaggio SMS semplicemente visitando una pagina web ad-hoc.

A seguire un POF (sicuro) ospitato sul mio sito:

LINK al POF





Visitando la pagina sopraindicata, attraverso l'utilizzo di un IFRAME invisibile, viene caricato il link:

Codice: Seleziona tutto

sms:%numerodestinatario%?body=%Messaggio%

Il link sms è associato con il gestore di messaggi integrato in Android nativamente, dunque viene eseguita l'applicazione messaggi componendo automaticamente un messaggio in base alle informazioni specificate nell'url.

Ho eseguito il test su Android 2.3.7 con il browser stock, aspetto qualche vostra prova con browser alternativi come Opera Browser (non mini).

P.S.: Specifico che non si tratta di un Exploit, piuttosto di un utilizzo improprio di una funzione legittima presente su Android.
P.S.2: Questo POC non funziona con Opera Mini per via del funzionamento di questo browser: il rendering della pagina viene eseguito sui server di Opera (il relativo link viene (in pratica) bonificato)

[gigicookie]

Con opera mobile non viene caricato niente


Inviato dal mio GT-S5570I con Tapatalk 2

[hashcat]

Con opera mobile non viene caricato niente

Ottimo, con il browser stock? (utilizzi Android 2.3.6 ??)

Ne approfitto per postare il sorgente:

https://privatepaste.com/a17b4c72b7

[send]

Con Dolphin browser e android 4.0.3 funziona ma non inserisce il numero perché non risulta valido il destinario (non è un numero).

[hashcat]

Grazie per il feedback.
Volendo posso creare un secondo POC con un numero falso (ma valido), al momento come destinatario viene utilizzata la stringa "Pwned (hashcat) ".

[gigicookie]

Con il browser di default si carica il messaggio
Samsung galaxy next (quello in firma)
Avast! questa volta non interviene

Inviato dal mio GT-S5570I con Tapatalk 2

[hashcat]

Ho creato un'altra pagina di prova con un numero valido (questa volta dovrebbe funzionare correttamente su qualsiasi versione di Android).

Link al nuovo POF

[The Doctor]

Samsung Galaxy S2 Android 4.0.3

Confermo il funzionamento del POF con browser stock, chrome e dolphin. Segnalo solo che lo spazio tra le parole viene riportato con %20

[Andy94]

Funziona, ovviamente, anche su GSIII con Android 4.1.

Qui però c'è ben poco da fare: la funzione è più che legittima...

[hashcat]

Samsung Galaxy S2 Android 4.0.3

Confermo il funzionamento del POF con browser stock, chrome e dolphin. Segnalo solo che lo spazio tra le parole viene riportato con %20

Ho modificato leggermente il sorgente, ora come viene visualizzato il messaggio?

[The Doctor]

Sempre uguale, ovvero con %20 al posto dello spazio con tutti e 3 i browser.

[hashcat]

Strano (potrebbe aver ricaricato la vecchia pagina dalla cache), l'ho riscritto in un'altro modo (credo si possa scrivere solo in questi due modi).
Comunque l'importante era dimostrare il funzionamento generale del POC.

P.S.: Thanks per le prove.

[Archangel256]

Ciao, sul mio Atrix (rooted ma con rom stock) e Android 2.3.4 l'exploit ha funzionato col browser stock, con Firefox e anche con Dolphin.

Inviato dal mio Atrix con Tapatalk 2