jueves, 15 de marzo de 2012

[Hack] Cuidado!, alguien puede estar viendo tus SMS online.

Un poco impactante el titulo, pero no es nada mas raro de lo que se viene hablando en artículos anteriores. Poder interseptar un sms de forma real se requiere de un gran conocimiento, para poder construir un falso punto de acceso, desencriptar los datos etc. Como se demostró en la Defcon del año 2010. Para suerte de los usuarios las empresas utilizan sistemas bastantes confiables, pero se olvidan de la seguridad en otros como voy a mostrar, los sms online.

Gran parte de las empresas nos dan la opción de poder mandar sms de forma gratuita online, si no contamos con crédito en nuestro teléfono móvil.
(Click en las imágenes para ampliar)


Ejemplo de la pagina de claro


Ejemplo de la pagina de personal


Ejemplo de la pagina de movistar

Como pueden ver en las imágenes no es mas que un simple formulario. Como no se trata del acceso de una contraseña, no pusieron empeño en cifrar los datos. Y estos viajan en texto limpio.
En primer lugar es necesario encontrarse en la misma red, por lo que hay que tener cuidado cuando nos conectamos en redes publicas. Una vez conectado a la red, un atacante hace un envenenamiento arp a una maquina en particular o al acces point, y utilizando la técnica de man in the middle comienza a capturar todo el trafico. (Todos estos pasos no los voy a explicar, si quieren pueden leer el articulo "las paginas juegan con nuestros datos") A diferencia de capturar las contraseñas, después del envenenamiento arp utilizo el Wireshark que permite capturar todos los paquetes y guardarlos en formato *.pcap.


Una vez almacenado los datos, para visualizarlos de una forma mas amigable utilizo el NetworkMiner. Solo hay que cargar el archivo pcap e ir a la pestaña Parameters para leer los mensajes y los números.

Captura del NetworMiner 1-mensaje de personal 2-mensaje de claro 3-mensaje de movistar

Ahora ya saben, tengan cuidado con lo que mandan y desde donde. ;)

3 comentarios:

  1. Hola !
    Hay alguna forma de saber quien envía los sms a nuestro número por medio del servicio de claro? Deben guardar los registros, ya que se necesita iniciar sesión para utilizarlo, pero aparte de tratar de meterse a su DB hay alguna forma ?

    ResponderEliminar
  2. No entiendo a que te refieres, los sms online no necesitan de contraseña. Si me puedes explicar un poco mas del servicio que nombras talvez sea posible algo

    saludos

    ResponderEliminar
  3. Si alguien sabe como conseguir los datos, conversaciones, msm, y contactos de un número celular sin siquiera tocarlo, y realmente es hacker tengo una propuesta de mas de 5 cifras para un trabajo. Contactar MIEMBRO_MAYOR@LIVE.COM

    ResponderEliminar