Tajny link - sms z androida

Witam!

Przeglądając z nudów stronkę z obrazkami, zdecydowałem się z ciekawości kliknąć w reklamę "Masz wirusa" i zobaczyć co tam ciekawego nawymyślali.
Powiem że zaskoczyli :P Pomijając jakieś bajery w JS typu skanowanie, telefon wibruje, typowe alerty, dopóki nie pojawi się nic innego poza kolejnymi podstronami to mogę przecież dowolnie klikać(chyba że przeglądarka jest dziurawa). Dotarłem to ostatniego przycisku i druczku o smsach za ok 6zł.
Telefonu nigdzie nie podawałem więc klikam.... poprzychodziły sms'y i z konta trochę znikło. Ogromne zdziwienie i "ale k**** jak?"

Pierwsze co to wyłączenie smsów premium i analiza kodu.

Trochę popisane w JS który różni się na różnych odpalonych systemach, a "wygenerowany" przycisk w który przywaliłem kciukiem ma adres:

sms:60568?body=START%20SKAN%2035278_Wyslij_tego_SMSa

Zrobienie własnej stronki z nawet tym samym "adresem" kończy się na wybraniu z jakiej aplikacji ma telefon korzystać.
Co ciekawe w bilingach nie znalazłem wychodzącego smsa(muszę jeszcze się upewnić).

Co więc tak naprawdę się stało?
Albo sms został wysłany, albo strona wyciągła mój nr. tel. ale jak?

Stronka znajduje się po wciśnięciu "Usuń wirusa" na stronie h**p://android.oemdiw.eu/thrive/polish/antiviruses/5.php
Oczywiście działać nie będzie bo wygasa, przekierowań jest dość sporo od pierwotnej strony, gdzie jawnie w linkach pojawia się model telefonu, operator i wersja kernela.
Przeglądając phpinfo(), nie widziałem nigdzie żeby były podane te dane(przynajmniej wszystkie)

Skąd te dane?

Nie przypuszczałem, że z poziomu stron http://smrt.rewkręcić, a co by było gdyby wszystko leciało z automatu i było ukryte gdzieś w tle reklamy czy w jakiejś stronie...
Zgłupiałem całkowicie, wisi mi wiadomość(sms) od "browser message" o treści "ASP. Kliknij na link, by chronić swoj telefon http://smrt.re...." jak tylko po odczytaniu wiadomości sms coś się stanie, idę szukać starej nokii.

Na koniec ciekawostki:
Telefon: Motorola Droid 4 z Android 4.1
Przeglądarka: chrome

Generowanie adresu do linku(widać że przygotowani na więcej)

function getClick2SMSStaticVars() {
  return {
    os:                 'android',
    hasClick2Sms:       'true',
    hasClick2SmsBody:   'true',
    deviceIsPhone:      'true',
    connectionIsMobile: 'false'
  };
}
function getClick2SMSKeywordVars(dk, operatornr) {
  var operatorindex        = operatornr ? operatornr - 1 : 0;
  var keyword              = 'SKAN'.split(',')[operatorindex];
  var shortcode            = '60568'.split(',')[operatorindex];
  var dynamicKeywordFormat = 'START [DK]'.split(',')[operatorindex];
  if (dk && dk != 'error' && dynamicKeywordFormat.match(/\[DK\]/)) {
    keyword = dynamicKeywordFormat.replace(/\[DK\]/, dk);
  }
  var MOBody = encodeURIComponent(keyword + '_Wyslij_tego_SMSa');
  var click2smshref = 'sms:[SHORTCODE]?body=[MOBODY]'.replace(/\[SHORTCODE\]/, shortcode).replace(/\[MOBODY\]/, MOBody);
  return {
    keyword:       keyword,
    shortcode:     shortcode,
    click2smshref: click2smshref
  };
}

Pozdrawiam!

Klasyczne CSRF. Tak samo ludzie "kradną" lajki na fejsbuku. Wyświetlasz jakieś głupoty na ekranie ale podpinasz pod nie kliknięcia na akcje typu "like on facebook" albo właśnie wyślij smsa. Stąd też na niektórych stronkach masz np. bzdury typu "musisz kliknąć w krzyżyk 2 razy żeby zamknąć reklamę" a w rzeczywistości te kliknięcia są podpięte pod jakąś akcję która wymaga dodatkowego potwierdzenia.

Nie może tam być "automatu" bo musisz fizycznie kliknąć. Inna sprawa że możesz "nie widzieć" w co klikasz.

Tak, ale po wybraniu nawet akcji "sms" otwiera się program do wysyłania wiadomości, klasyczny na androidzie chat.
Nie widzę tutaj możliwości jaka jest popularnie stosowana na typowych stronach, przeglądając z poziomu PC(wszystko jest w obrębie jednego programu - przeglądarki oraz na tej samej strony). Dodatkowo kliknięcia były pojedyncze na każdej ze stron.

Dodatkowo, tak mi się teraz przypomniało, jeśli byłem na telefonie na WiFi to faktycznie wyskakiwał komunikat systemowy o wybraniu akcji, lecz jeśli byłem na połączeniu komórkowym, wystarczyło tylko kliknąć, a w kodzie pojawiało się:

connectionIsMobile: 'true'

Rozumiem że to można wyczaić po np. adresie IP, lecz idąc dalej, nie znalazłem żadnego powiązania nigdzie w kodzie z "connectionIsMobile" i co za tym idzie (też zbyt czasu nie miałem aby to wszystko przeanalizować).
Link od "przycisku" się nie zmienił, a już pytanko systemowe nie wyskakiwało.

Miałem dużo różnych okazji analizować różne sztuczki które wg. mnie nie są fair, ale ten mnie zaskoczył.
Ostatnio cieńko z czasem i dogłębną analizę sobie podaruję chociaż ciekawość trochę bierze górę.
Stworzyłem temat, bo może kogoś też interesują niestandardowe podejścia do różnych tematów ;)

@Czarny Mleczarz jestem pewien że da się wymusić coś w stylu "wybierz jak zakończyć wykonywanie tej akcji" albo w ogóle "wyświetlić" tylko jakis dialog w stylu "czy na pewno chcesz wysłać tego smsa".

Co do kradnięcia lajków o których pisał @Shalom, tutaj filmik jak to można było zrobić na wykopie :)

Co do samego uruchamiania aplikacji mobilnych da się coś takiego zrobić bazując na core chrome.

Ekstremalnie stary android (sorry, każdy nie-najnowszy android jest pełen dziur) i pewnie przeglądarka podatna na bug opisywany kiedyś na ZTS/Niebezpieczniku (bodajże w iframe jak ładowałeś taki adres to telefon o nic nie pytał, tylko wysyłał tego SMS).

ZERO zaskoczenia z mojej strony.

Prawdopodobnie lepsze rzeczy da się z Twoim dziurofonem zrobić, tylko nie wchodzisz na odpowiednie strony :)

Żeby nie było - sam mam androida. Jestem ŚWIADOMY jakie dziury w nim są - to są ekstremalnie poważne dziury, przed którymi nie ma ochrony (poza załataniem), nie ma też żadnego znaku, że telefon jest zainfekowany, a sam telefon staje się niewolnikiem - zrobi cokolwiek, czego zażyczy sobie "Pan". Poczytaj np. o https://en.wikipedia.org/wiki/Stagefright_(bug) + test: https://play.google.com/store/apps/details?id=com.zimperium.stagefrightdetector --- aha, jeżeli to nie dziura z iframem, a dostałeś Stagefrighta (nie wiem jak to zweryfikować) - to najlepiej reinstaluj ten telefon. Albo wyrzuć dla pewności.

Ja unikam robienia czegokolwiek ważnego na telefonie, w którym wiem, że jest tyle dziur. A kolejne tylko czekają (o większości nie jest tak głośno), np.: http://www.pcworld.pl/news/403608/100.mln.uzytkownikow.Androida.z.najgrozniejsza.luka.w.historii.html (choć to nie problem samego androida w sumie)

Niedługo zmienię na Lumię - Androidy niestety cierpią na zasobożerność (widocznie wszystko od Google tak ma - pozdrowienia dla Chrome), w dodatku są dziurawe (to już wiemy) i bardzo szybko porzucane jest wsparcie przez producenta. A alternatywne źródła oprogramowania niewiele pomagają (u mnie zainstalowanie CM na Androidzie 5 powoduje, że telefon rozładowywuje się w ok. 10 godzin). iPhone to przepłacona rzecz. Lumia to długo wspierane (nawet stare budżetówki dostaną aktualizację do Win10), megapłynne telefony, na których niewiele można zrobić - ale wszystko to, do czego telefon służyć powinien - jest - telefon, sms, internet, mapki.

A Stagefright w core androida został poprawiony dopiero w wersji 5.1 (był znany wcześniej niż release 5.1) - super reakcja, nie znam osoby z Androidem, która miałaby go w wersji 5.1 aktualnie.

SMS o którym piszesz wcale się nie wysłał - to alternatywna i mniej skuteczna metoda wyłudzania pieniędzy dla osób podpiętych przez Wi-fi

Padłeś ofiarą WAP billingu
http://niebezpiecznik.pl/post/korzystasz-z-internetu-mobilnego-uwazaj-na-wap-billing-zwykle-klikniecie-w-link-na-stronie-www-moze-nabic-ci-wysoki-rachunek/

Niestety jedyną metodą żeby nie paść ofiarą czegoś takiego jest na ten moment nie klikanie w podejrzane linki lub korzystanie z Internetu jedynie przez wi-fi.

BTW widzę że nawet na forum programistów większość ludzi jest nieświadoma
mistrzem okazał się dzek69 który nie mając pojęcia o czym pisze stwierdza "ZERO zaskoczenia" oraz "Jestem ŚWIADOMY jakie dziury w nim są" jednocześnie myśląc że przejście na lumię go przed czymkolwiek uchroni :)

@dzek69 dokładnie jak kolega pisał wyżej. To akurat nie jest dziura a kretyńsko głupi mechanizm wymyślony dawno temu i w Lumii zadziała tak samo.

Ja nie mówię, że Lumia jest lekiem na wszystko - ale na pewno nie ma tam aż takich dziur - więc tak, przed "czymkolwiek" urchoni.

A to, czy OP dostał tę niespodziankę przez Wap Billing, starą dziurę w androidzie ze średniowiecza, albo w miarę nową dziurę Stagefright - tego się nie dowiemy, bez dokładniejszej analizy. Niemniej - wszystkie metody są równie możliwe! Jest też możliwe, że strona łączy wiele metod do osiągnięcia swojego celu ;)

Dlatego trzeba używać Cyanogenmoda a nie Androida ze średniowiecza

Proszę bardzo: poziom zabezpieczeń androida z 1 listopada:

Ja mam zawsze wszystko połatane. Szybciej niż Lumie, zapewniam was.

O tym też pisałem. Stare Lumie dostają aktualizacje. Stare Androidy, a często nawet w miarę nowe też - nie, bo jest to kontrolowane przez producentów, którzy mają w dupie. Wyjątkiem są tylko Nexusy z tego co się orientuję. A Cyanogenmod jest nieoficjalnym oprogramowaniem, które - jak to nieoficjalne oprogramowanie ma w zwyczaju - działa różnie. U mnie CM robi z telefonu zabawkę na kilka godzin. A kumpel w takim OnePlus One musiał czekać z miesiąc na załatanie StageFrighta (oficjalne, stabilne), więc wcale tak radośnie nie jest (Ty sam używasz wersji nightly).

Kolejny dzień, kolejna dziura:

Badacze z firmy Lookout zidentyfikowali 20 tys. aplikacji z dołączonym kodem adware, który daje atakującemu uprawnienia roota i jest praktycznie nieusuwalny. Szkodnikom (znanym jako Shedun, Shuanet i ShiftyBug) uległo sporo aplikacji znanych dostawców, takich jak choćby Facebook, Twitter, Snapchat, NYTimes czy Candy Crush - zob. Ars Technica, New type of auto-rooting Android adware is nearly impossible to remove, wpis na blogu odkrywców: Lookout discovers new trojanized adware; 20K popular apps caught in the crossfire.

To tak jakby ktoś dalej chciał się kłócić, że Android jest bezpiecznym systemem, bo na kilkadziesiąt modeli zazwyczaj najdroższych telefonów można pobrać niestabilne nightly buildy, gdzie są W MIARĘ aktualne łatki :p

Oficjalne wersje nightly Cyanogenmoda są stabilne, wystarczajaco do codziennego użytku. Na OnePlusOne praktycznie bezbłędne.

I nie są to w miarę nowe łatki, a najnowsze wydane przez Google.

Poza tym, nie doczytałeś wszystkiego - użytkownicy instalujący aplikacje z oficjalnego sklepu nie są zagrożeni

Taki sam efekt można uzyskać wpisując w zwykły adres linku : sms:000000000?body=jakaś treść a czy jest komenda która to przez przypadek wyśle? I jak to jest z tymi stronami gdzie szukasz no filmu i jest podaj nr tel ?