Sicherheitslücke bei SMS77

Ich finde das nicht in Ordnung, dass man mithilfe von SMS77 unter dem Vorwand irgendeiner Handynummer einfach so SMS vershicken kann.

Trägt man in der API unter "from" einfach irgendeine Handynummer ein, so wird diese ohne Murren und Knurren verwendet.

Jeder ist für denn Inhalt und auch der Absendernummer seiner SMS selbst verantwortlich.

Die APi stellt auch eine schnitstelle für andere SMS anbieter da, und was meinst du wenn man jetzt denen einfach sagt, deren kunden dürfen keine SMS mit ihrer eigenen Handynummer als absender mehr verschicken.

_________________
Menschen Reden viel, aber sagen wenig

Das geht bei anderen Anbietern (Ausland) problemlos, auch ohne API-Schnittstelle - ich nenne keine Namen.
Wir hatten hier schon einmal diese Diskussion, ob das sicher wäre oder ob man damit nicht unheimlich viel Unfug betreiben kann. Ich finde es relativ sicher, denn alles wird protokolliert und wenn man unbedingt damit Unfug betreiben will, so wird sich die Staatsanwaltschaft nach Einsicht der ganzen Versanddaten (inkl. IP-Adressen, etc. schon sehr schnell den richtigen angeln)
Natürlich gibt es Sicherheitslücken (Versand vom Handy mithilfe einer auf jemand anderen registrierten Handykarte, Versand aus dem Internetcafe, IP-verstecken, ... es gibt viele Wege), aber diese gibt es überall, dann darf man nicht einmal mehr mit der EC-Karte einkaufen gehen.
Und schon gar nicht über das Internet mit Kreditkarte..

so far
S

So eine SMS lässt sich trotz der falschen Absenderkennung problemlos beim Netzbetreiber korrekt zum jeweiligen Versender zuordnen. Also keine wirkliche Sicherheitslücke...

Aber der Empfänger merkt es nicht von wem die SMS wirklich stammt.

Ich sehe schon, SMS77 zeigt keinerlei Interesse dieses Lücke zu beheben.

Beim Versand per sms77.de ist doch eine "Absendernummerprüfung", das haben viele andere Anbieter nicht. Wenn Du eine SMS von einer Nummer bekommst, und sicher bist, dass Sie ohne Erlaubnis von einer fremden Nummer gesandt wurde, dann melde dich beim Kundenservice vom jeweiligen Netzbetreiber (die Nummern sende ich dir auch gern zu ) und die sagen dir, wies weiter gehen muss.
lg. andihis

Zuletzt bearbeitet: 29.10.2007 17:49 - Insgesamt 1 mal bearbeitet.

_________________
an. di .hi .s

Was ist die "Absendernummerprüfung" bzw. was macht diese Prüfung genau?

Es ist keine sicherheitslücke! daher gibts auch nichts zu beheben.


_________________
Menschen Reden viel, aber sagen wenig

Wenn Du beim Versand über die Website eine andere Rufnummer als Absender nehmen willst, als mit der Du hier registriert bist, dann wird das geblockt. Kann man auch einfach ausprobieren.
Man kann aber hier auch weiterer Rufnummern hinzufügen, die musst Du aber erst per SMS bestätigen.
https://www.sms77.de/nummernverwaltung.html
lg. andihis

Zuletzt bearbeitet: 29.10.2007 17:55 - Insgesamt 1 mal bearbeitet.

_________________
an. di .hi .s

Das greift aber bei Verwendung der API nicht.

Rufnummern müssen nicht verifiziert werden. Es kann jede beliebige Rufnummer verwendet werden, ohne dass die API überprüft ob es deine eigene verifizierte Rufnummer ist.

Zuletzt bearbeitet: 29.10.2007 18:17 - Insgesamt 1 mal bearbeitet.

Das ist richtig. (Deshalb habe ich ja auch "beim Versand über die Website" geschrieben)
Aber ich denke dass nur ca. 30% der sms77.de-Mitglieder auch API nutzen.
Wie gesagt, der Netzbetreiber kann sowieso feststellen woher die SMS kam, und sms77.de speichert ja deine IP und weiss über den Internetanbieter auch wer die SMS geschickt hat.
lg. andihis

_________________
an. di .hi .s

Es ist absolut sinnlos hier weiterzudiskutieren.


It´s not a BUG it´s a FEATURE.

=> Andere Anbieter machen das komplett ohne Nummernüberprüfung.
Man könnte keine eigenen Versandservice's per API mehr anbieten, da immer erst die Nummer überprüft werden müsste. Ich denke, das man das nicht verwirklichen wird.
lg. andihis

_________________
an. di .hi .s

hehe ihr zwei nun mal nit streiten ihr redet etwas aneinander vorbei

andihis redet von der webseite

skandler redet von der api die jeder ohne webseite ansprechen kann

@skandler es ist erstmal korrekt das du jede nummer als absender angeben kannst nur ist es nachvollziehbar du übergibst ja beim aufruf der api deinen key der dir von sms77 zur verfügung gestellt wird somit bist du nachvollziehbar als absender ausserdem loggt der sms gateway (bei meiem Gateway ist es so) die ip woher die anforderung kam => und eine anfrage der stastsanwaltschaft beim provider gibt die lokation der Ip Adresse zu dieser Zeit heraus also deine Adresse => somit ist das schon sicher bzw nachvollziehbar woher alles kam

Gruss

Der Empfänger muss doch erst mal drauf kommen, dass die SMS gar nicht von dem vermeintlichen Absender kommt. Das ist doch das ganze Problem an der Sache.

Sowas darf nicht sein, dass jemand unter fremden Handynummern SMS verschicken kann.

Abgesehen von der IP: sollte der Absender irgendeines der Bezahlungsverfahren genutzt haben, um sein SMS77-Konto aufzuladen, ist er so noch leichter zu identifizieren. Ich glaube auch nicht, dass diese Versandmöglichkeit hier bei SMS77.de nicht angeboten werden sollte, es gibt genügend andere Anbieter, welche das gleiche anbieten.
Und: Schon mal darüber nachgedacht, dass es noch wesentlich leichter ist, eine EMail mit falscher Absenderadresse zu versenden? (Oder einen Brief? *gg*)

hehe
re skandler ja sicherlich aber wie willst du das verhindern ?

es geht nicht wenn jemand sein handy rumliegen lässt kann man auch simsen darüber

wenn ich eine sms von einem anderen Absender bekomme womit ich nichts anfangen kann, kann man sich an seinen netzbetreiber wenden und das nachverfolgen lassen wie gesagt es kann immer zurückverfolgt werden woher die sms kam. das du ne andere nummer angeben kannst wirste nicht unterbinden können


gruss

> re skandler ja sicherlich aber wie willst du das verhindern ?

In dem man seine Absendernummer erst verifizieren muss. So wie es bei anderen SMS Anbietern der Fall ist.

Ist natürlich auch kein 100%iger Schutz. Aber hier muss jemand zumindest im Besitz meines Handys sein, um an den Freischaltcode zu kommen.

> wenn ich eine sms von einem anderen Absender bekomme womit ich nichts anfangen kann

Und was ist wenn der Absender die Nummer deiner Freundinn ist?

Zuletzt bearbeitet: 29.10.2007 21:49 - Insgesamt 1 mal bearbeitet.

Trotzdem hakt der Gedanke, denn wenn ich es nicht über sms77 machen kann (andere Absendernummern eintragen) kann ich problemlos auf Anbieter aus dem Ausland zurückgreifen.



stimmt nicht, denn folgendes Szenario (wie ich übrigens schon am Anfang beschrieben habe):

- sms77 Anmeldung mit Fakedaten in einem kostenlosen Hotspot oder Inet-Cafe
- Nutzung der ersten Geschenksms direkt über API --> keiner kann nachweisen wer die sms losgeschickt hat, denn auch wenn die IP richtig zugeordnet wird (Hotspot? INetCafe? WAP von einer unregistrierten/auf dem Flohmarkt gekauften Sim-Karte)
-Aufladung mit 0900 mit einer nicht auf sich registrierten Handykarte...

sicher ist es nirgendwo, wenn kriminelle Energie da ist, dann findet man auch einen Weg die Behörden zu umgehen.

Aber am einfachsten können doch diese Leute die verschiedenen Ausländischen Routen ohne Überprüfung der Absenderufnummern ausweichen, die in Afrika und sonstwo ihren Sitz haben.

so far
s

beim besten willen, ihr schweift das z.Z. ganz schön aus.

Wollen wir jetzt alles untebinden was auch nur eine kleine sicherheitslücke ist?
Ok, fangen wir mit handys an, dort kann man auch seine Nummer fälschen, und sogar auf kosten anderer telefonieren. Sollte verboten werden.

Festnetz:
Kann man ebenfalls eine frei wählbare absendernummer wählen um Fake anrufe zu machen. Und mit ein ppar anderen tricks auch auf Fremdkosten telefonieren. (DECT/GEP machts möglich *g*)

W-lan:
Auf Offene netzwerke zugreifen und von dort aus Propaganda verbreiten oder sonst was.....

der witz an der ganze sache ist ja, es ist nicht verboten, wird sogar oft mals angeboten, das hat nix mit sicherheitslücken zu tun.

Und iwe ich schon in einem Post vorher sagte,
die API wird auch von weitren SMS anbietern (die ihre SMS über sms77.de verschicken) genutzt, und willst du dennen das erklären das dessen kunden jetzt keine eigene absendernummer mehr angeben dürfen, weil sie hier nicht verifiziert ist?

_________________
Menschen Reden viel, aber sagen wenig

Kann meinem Vorredner nur zustimmen! Es ist doch in allem so, dass man nicht die Gewissheit hat, von wem es ist?

Weitere Beispiele:

eMails: Es ist ein leichtest eMails zu verschicken unter anderem Name, ohne dass es jemand nachprüfen könnte.

Post: Du kannst doch auch nen Brief schreiben und ihn unter falschem Namen verschicken? Willst du das auch erst verifizieren?


Sowas ist halt nicht möglich! Ich finde die API sehr wichtig, verschicke ausschließlich darüber meine SMS und wie sollte ich sonst den Usern meiner Website diesen Service auch anbieten können. Die wollen ja auch über ihre eigene Nummer ohne viel Aufwand schicken.

Also alles bestens, wie es ist! Und ändern können wir die Welt ja eh nicht!

Viele Grüße
DAS ObiHörnchen

Klar, wenn man ohne Spuren zu hinterlassen senden will, dann schafft man das auch irgendwie. Das ist immer irgendwie möglich.
lg. andihis



_________________
an. di .hi .s

Fahrt nach Tschechien. Geht in einen Supermarkt, kauft euch eine Sim karte. Ihr müsst weder einen Namen nennen noch einen Ausweis vorlegen. Nach zwei Minuten ist die Karte aktiv. Kostet 200 Kc = 7,5 € und ihr könnt anonym lostel. + smsen. In der CZ gibt es keinen Misbrauch?
Provider übrigens T-Com bzw. Vodafon oder O2. Nur wir deutschen scheinen so naiv zu sein, wir trauen jeder E-Mail Absenderadresse + jeder Absendertelefonnr.

Naja man kann doch sowieso zurückverfolgen wer wen was geschickt hat, von daher ist es keine Sicherheitslücke, aber wenn es über das Api geht, dann kannste max. die Leute verarschen die deine Nummer nicht sehen. Aber Schäuble sieht alles xD

Es ist möglich falsche nummer einzugeben. Doch wieso einen so großen aufwand? Über sms wird heute eh nicht viel gemacht und ich lasse freunde meinen accound mir der api mitbenutzten und dann müsste ich erst 30 cent bezahlen deren handynummer als abersender einzusetzten wäre doch doof

besonders für die die das wirklich gerwerblich machen.

Es ist ein problem. nur der nutzen ist größer und wenn ich anonym mit falschern nummer sms versenden möchte gehe ich ins ausland (bzw. ausländisches getaway). Außerdem wird eh alles geloggt weswegen es bei größeneren iligalen aktivitäten eh auffallen würde und die ip rausgegeben würde.

_________________
Mein Tool zum SMS Senden:
https://www.sms77.de/t,3310-Windows-Didelis.html
__________________________
SMS-Gutschein für Tester von Didelis