Уязвимость сервиса Мегафон.UMS позволяет получать доступ к SMS сообщениям

В последние 4 дня в Сети начала появляться волна жалоб абонентов компании «Мегафон». Основная масса связана с несанкционированными подписками на платные SMS-сервисы. Это стало возможным из-за наличия уязвимости в новом сервисе UMS.
Ситуацию усугубляет слабость законодательства в РФ и отсутствие результативности раскрытия таких преступлений правоохранителями. Самим же операторам, судя по всему решать проблему угона средств со счетов абонентов с использованием SMS-подписок попросту не выгодно.

Возвращаясь к «Мегафону», брешь в безопасности найдена и эксплуатируется в сервисе для работы с социальными сетями и сообщениями UMS. Этот сервис был запущен оператором в декабре 2012 года. Одним из преимуществ называется полноценная работа с SMS сообщениями, предоставляется функционал по чтению и отправке сообщений. Абоненты подключаются к нему автоматически, для этого нужно ввести номер телефона и пароль от сервиса Сервис-Гида.

Внешне все выглядит удобно для абонентов, но это только внешне. Если в сервисе Сервис-Гиде есть хоть какое-то подобие защиты с вводом «защитного кода», то в случае с UMS есть возможность проведения перебора паролей. С учетом того, что на большинстве номеров используется только цифровая комбинация, подбор пароля лишь вопрос временем, а с учетом, что длина может быть 4 символа, нахождение пароля проходить очень быстро. Получив пароль для входа, злоумышленники получают доступ не только к SMS сообщениям абонента, но и к системе Сервис.Гид. В данные момент эта брешь безопасности используется для осуществления массовых платных СМС-подписок. По сообщениям, появляющимся в сети, оператор со своей стороны заявляет о необходимости письменного обращения для возврата средств. Но, при этом если в случае использования в качестве основной SIM-карты худо бедно потерю средств можно заметить, то в случае нахождении SIM-карты в модемах о проблеме можно будет узнать только при возникновении весомого долга на счету.

Еще один из подводных камней, который может проявиться в скором времени может быть связан с SMS функционалом. Одной из самых серьезной опасностей может стать доступ к Интернет-банкингу, и осуществлением манипуляций уже с банковским счетом.

Рекомендую провести проверку настроек своего лицевого счета и отключить доступ к услуге UMS в том виде, котором она сейчас введена кроется большое число подводных камней, сделать это можно в сервисе Сервис.Гид.
Samsung планирует совершить революцию с Exynos 2600…
Exynos 2600 станет первым процессором Samsung, выполненным по 2-нанометровому техпроцессу GAA. По стандар…
Vivo T4 Pro оценили в 320 долларов …
Компания Vivo пополнила ассортимент смартфонов моделью Vivo T4 Pro, которая основана на 4-нанометровом пр…
Google Pixel 10 получит беспроводную зарядку Qi2…
До презентации Google Pixel 10 остаётся всего неделя, но поток утечек не утихает. Теперь нидерландское из…
Nothing Phone (3) появился в продаже …
Компания Nothing выпустила в продажу смартфон Phone (3), который стоит в Европе 800 и 900 евро за версии …
Realme 15 Pro получил камеру на 50 Мп и мощный чип…
Сегодня смартфон Realme 15 Pro был официально представлен — он получил ряд заметных улучшений по сравнени…
Tecno раскрыла характеристики ультратонких смартфонов…
В начале месяца, накануне выставки IFA в Берлине, компания Tecno представила смартфоны Spark Slim и Pova …
Официально: Vivo Y500 с батареей 8200 мАч готов к выходу…
Компания Vivo объявила, что презентация смартфона Y500 пройдет в Китае 1 сентября. Производитель подтверд…
Samsung хочет интегрировать в Galaxy S26 новый ИИ…
Samsung активно развивает направление искусственного интеллекта с момента запуска линейки Galaxy S24 в пр…
МегаОбзор
ЭЛ № ФС 77 - 68301. Выходные данные СМИ МегаОбзор
2006-2025
© MegaObzor