Na problém jsme upozornili s Tomášem Rosou už dávno v ?lánku o autentizaci ve Sd?lovací technice
?.9/2004. Potom se ta kauza dokonce probírala v televizi, když se to všem operátor?m p?ed kamerou názorn? p?edvedlo. Jde o to, že n?které internetové SMS brány umož?ují manipulaci s n?kterými služebními poli SMS. Operátor pak tato pole pouze p?íjemci jen doru?í a mobil je zobrazí. Tak se m?že stát, že od ?editele dostaneme pomocí SMS padáka nebo nám n?kdo pomocí SMS zatopí na chat?, když bude zase tropické vedro. V horším p?ípad? lze GSM moduly, ?ídící r?znorodé (bezpe?nostní) procesy, zneužít mnohem h??e, t?eba vypnout bezpe?nostní systém, kameru apod. (o záchranném systému rad?ji nehovo?it) Doufám, že operáto?i budou p?íslušné brány blokovat. Jedná se o systémovou chybu, kterou nelze jednoduše opravit.
Odstavec z citovaného ?lánku p?ecejen vyjímám:
Nespoléhejme na systém
...Možná si te? kladete otázku, pro? se má návrhá? zabývat extra autentiza?ním protokolem, když v?tšina komunika?ních platforem už n?jakou autentizaci poskytuje. Pokud by se
to, co tyto systémy ?asto považují za autentizaci, dalo tímto termínem skute?n? nazvat, pak by otázka byla jist? na míst?. Bohužel tomu tak v ?ad? p?ípad? není a architekt?m nezbývá než tento problém vy?ešit na vyšší úrovni a po svém. Pro p?iblížení si p?ipome?me slabinu, která ?íhá v prost?edí, kde si ji ?ada uživatel? dodnes tém?? neuv?domuje. Tím prost?edím je služba krátkých textových zpráv (SMS) v sítích GSM, kde drtivá v?tšina uživatel? stoprocentn? v??í tomu, že p?ijatá zpráva byla odeslána ze za?ízení, jehož ?íslo je zobrazeno na displeji jejich telefonu. Dokonce se v praxi setkáme i s r?znými dálkov? ovládanými moduly, které ochotn? vyplní p?íkazy došlé v otev?ené textové zpráv?. Sta?í jen, když tato zpráva pochází ze
správného ?ísla. To vše se p?itom d?je na pozadí toho, že už od roku 2001 existuje snadno dostupná utilita [3], která úto?níkovi umož?uje odesílat krátké textové zprávy s prakticky libovolnou identitou odesilatele. Program je sice napsán pro nep?íliš rozší?enou platformu Palm PC, avšak p?epsání voln? dostupného zdrojového kódu pro libovolné prost?edí (v?. javových aplikací pro mobilní telefony)
je jist? jen otázkou ?asu a nálady. Tento stav je primárn? d?sledkem kostrbaté koncepce autentizace v sítích GSM, která již nedokáže pokrýt ur?ité specifické protokoly. Toho pak dovedn? využívají
žertovné aplikace typu [3]. Architekt?m a uživatel?m zase nezbývá než o zranitelnosti v?d?t a ?ešit vznikající rizika po svém. Nap?íklad pomocí metod p?iblížených v tomto ?lánku. (konec citace)