Resultados 1 al 4 de 4

Tema: VULNERABILIDAD Telefónica MoviStar

  1. #1 VULNERABILIDAD Telefónica MoviStar 
    Iniciado
    Fecha de ingreso
    Jan 2005
    Mensajes
    1
    Descargas
    0
    Uploads
    0
    Se ha descubierto una falta de seguridad en el servicio de Telefónica MoviStar que permite a un atacante hacerse fácilmente con la tarjeta de cualquier usuario de MoviStar Activa.

    ------------------------------------------------------------------------


    Desde ciberseleccion.com hemos descubierto un fallo de seguridad en el servicio de MoviStar Activa de Telefónica. Este agujero de seguridad permite a cualquier persona "robar" fácilmente el número de teléfono a cualquier usuario de MoviStar Activa.

    La poca información que Telefónica MoviStar solicita para saber cuál es el código PUK de un teléfono móvil unido a la facilidad para realizar un duplicado de tarjeta a partir de dicha información hace que TODOS los usuarios de MoviStar Activa sean vulnerables. Hemos realizado algunas pruebas en las que la poca seguridad del servicio MoviStar Activa se ha hecho notable.

    Esperamos que a partir de ésta noticia Telefónica MoviStar tome cuanto antes medidas de seguridad para evitar que se realicen estos actos y para interceptar a aquellos que los cometen.

    > La vulnerabilidad

    Telefónica MoviStar ofrece un servicio de "Duplicado de tarjeta" a sus clientes de MoviStar Activa. El duplicado se realiza gratuitamente en cualquier los distribuidores MoviStar y sirve para que, en caso de pérdida o robo de la tarjeta el usuario reciba una tarjeta nueva con el número de teléfono que anteriormente poseía. Al asignar a la nueva tarjeta el número de teléfono del usuario la tarjeta perdida/robada queda inservible.

    Para realizar un "duplicado de tarjeta" tan sólo es necesario el código PUK de la tarjeta. Desde el teléfono de soporte de MoviStar 1485 se dice al usuario que también necesita presentar su DNI, pero éste no es registrado en ningún caso y al indagar más sobre ello hemos recibido la respuesta en el 1485 de que se trata de algo "recomendable" y no necesario. Hemos realizado pruebas y ni siquiera se nos ha solicitado tal dato.

    El atacante puede obtener el código PUK de su víctima mediante una simple recarga de saldo al móvil de ésta y una llamada al 1485, ya que para obtener el código PUK de una tarjeta basta con dar el número de móvil y la fecha de la última recarga como datos.

    De esa forma el atacante puede hacerse primero con el código PUK mediante una recarga de saldo al móvil de la víctima y luego con su número de móvil más su saldo realizando un "duplicado de tarjeta" (con el código PUK anteriormente obtenido) en cualquier distribuidor MoviStar, dejando la tarjeta de su víctima inservible.

    Nota:
    Las pruebas se han realizado con consentimiento previo de un usuario de MoviStar Activa y sin causar ningún perjuicio a ningún usuario de Telefónica MoviStar.



    > Los afectados

    Este agujero de seguridad afecta a TODOS LOS USUARIOS DE MOVISTAR ACTIVA.

    - Cómo saber si usted está afectado

    Si usted es cliente de MoviStar Activa y al encender su teléfono móvil pasan unos minutos y su teléfono sigue buscando la red (no tiene cobertura) pese a estar en un lugar al aire libre en el que teóricamente debería haber cobertura (si alguna persona con red MoviStar que se encuentre cerca de usted tiene cobertura y usted no) es posible que hallan realizado un duplicado de su tarjeta. Si en los últimos días había recibido una recarga de saldo de alguna extraña "promoción" o alguna otra recarga no solicitada es muy probable que así sea.

    - Cómo recuperar su tarjeta

    Si cree que han realizado un duplicado de su tarjeta sin su consentimiento llame inmediatamente al 1485 y comuníqueselo al operador que le atienda. Dígale cuándo recibió la última recarga (si recibió una recarga no solicitada, indíquelo) y solicite el código PUK que le será necesario para realizar un duplicado de tarjeta. Se trata de duplicar la tarjeta que anteriormente le habían duplicado a usted para recuperar su número y que la tarjeta del primer duplicado quede inservible. Acérquese a cualquier distribuidor MoviStar con su código PUK y su DNI y solicite un duplicado de tarjeta (es gratuito). Le entregarán una nueva tarjeta que volverá a tener su número de teléfono. Esto no evitará que siga siendo vulnerable y que pueda volverle a ocurrir en otra ocasión.

    Nota: Suponemos y esperamos que al haber salido a la luz esta vulnerabilidad se empezará a registrar el DNI de las personas que soliciten un duplicado de tarjeta por motivos de seguridad.


    - Medidas de prevención para usuarios de MoviStar Activa

    1. Llevar un registro de las fechas en las que se han realizado las últimas recargas y guardar el código PUK y el número de la tarjeta por si acaso.

    2. Llamar al soporte de MoviStar 1485 (número gratuito) avisando de nuestro problema en caso de recibir una recarga NO SOLICITADA.

    Eso es todo.
    zenx

    http://www.ciberseleccion.com.



    PD: Aprovechamos este mensaje para solidarizarnos con http://www.timofonica.org. Si alguien puede apoyarles y cree justa su causa siempre está a tiempo para colaborar

    ------------------------------------------------------------------------



    un saludo,

    emovil
    Última edición por emovil; 07-01-2005 a las 14:19
    Citar  
     

  2. #2  
    Iniciado
    Fecha de ingreso
    Sep 2004
    Mensajes
    14
    Descargas
    0
    Uploads
    0
    joder vaya movida
    Citar  
     

  3. #3  
    Medio
    Fecha de ingreso
    Dec 2004
    Mensajes
    65
    Descargas
    0
    Uploads
    0
    Esto ya se veia venir hace duplicados esta al alcance de cualquiera, tienen razon en ese sentido no hay ningun control, algo tenia que salir.
    Espero que pronto hagan algo al respecto.
    http://mwadmin.blogspot.com/
    Mi blog informático
    http://mwvirtual.wikispaces.com/
    Nuevo wiki sobre virtualización, colabora.
    Citar  
     

  4. #4  
    Moderador HH
    Fecha de ingreso
    Dec 2001
    Ubicación
    Galiza
    Mensajes
    3.129
    Descargas
    0
    Uploads
    0
    Estoy muy de acuerdo en que es una 'movida' es decir, un gran fallo por parte de movistar.

    Desde luego es un fallo que tienen todas las compañías, tanto vodafone como amena tb cometen errores de la misma índole aunque en caso de las dos que acabo de mencioar el duplicado solo puede ser efectuado por un servicio oficial (lo digo pq hacen falta unas tarjetas especiales, llamadas tarjetas 98 y no se sirven a cualquiera, en cualquier caso hablo de vodafone, ya que de amena no se a ciencia cierta). En caso de lo cual siendo contrato hacen falta la mayoría de los datos del contrato y en el caso de un prepago el código pin y puk, como en movistar.

    El caso es que eses códigos, siendo prepago se pueden conseguir como arriba se cita en cualquier compañía, siempre están obligados a darlos a quien llama si contesta a los datos pedidos. El fallo de movistar es que permite el cambio a cualquiera, en cambio vodafone sólo a sus servidores, cosa que limita el error a un fallo humano menor. De todas formas, si vas a una tienda vodafone con tu código pin y puk escritos en un papel diciendo que has perdido la papeleta original donde venían (cosa muy usual) el fallo de seguridad se aplicaría tb a estas compañias.

    Nótese que hablo con conocimiento de causa y sólo limito los errores o fallos de seguridad a los teléfonos de prepago (ya que de contrato necesitarías todos los datos del cliente, desde el DNI hasta el banco por el que pasa las facturas, con lo que el error es prácticamente nulo). De todas formas tiene cierta lógica y poca solucion dicho error o fallo ya que no hay manera de saber quien ha comprado un teléfono de prepago y, a excepción de que esté dado de alta en el programa de puntos de prepago (con lo que ya hay constancia de un 'titular' con sus correspondientes datos) la única forma de saber que eres el dueño de algo es que des el número de serie.

    Como conclusión decir que el fallo está y seguirá, de todas formas cuando notas que te ha ocurrido, llamas a atención al cliente y te recuperan el error casi inmediatamente. Por tanto poco hay que hacer.

    Saludos a todos. En caso de dudas y aclaraciones postead las curiosidades.
    Las ideas son como las pulgas, saltan de unos a otros pero no pican a todos... (George Bernard Shaw)
    Citar  
     

Temas similares

  1. Grave vulnerabilidad en routers ADSL de Telefónica
    Por LUK en el foro VULNERABILIDADES
    Respuestas: 1
    Último mensaje: 14-02-2012, 22:17
  2. Respuestas: 4
    Último mensaje: 05-09-2010, 11:32
  3. Estafa De Movistar!!
    Por gregogv77 en el foro TELEFONIA
    Respuestas: 21
    Último mensaje: 22-11-2006, 17:40
  4. *INTERESANTE* bug de Movistar...
    Por Nost en el foro TELEFONIA
    Respuestas: 16
    Último mensaje: 02-10-2006, 18:40
  5. Vulnerabilidad en routers ADSL de Telefónica
    Por NeoGenessis en el foro HACK HiSPANO
    Respuestas: 5
    Último mensaje: 25-01-2002, 14:55

Marcadores

Marcadores

Permisos de publicación

  • No puedes crear nuevos temas
  • No puedes responder temas
  • No puedes subir archivos adjuntos
  • No puedes editar tus mensajes
  •