Aus Linux-Magazin 11/2001

Kostenloser SMS-Service

Exploits veröffentlichen gehört im Security-Umfeld zu den umstrittenen Freuden. Web.de hat jedoch eine so simple Spam-Bremse im Free-SMS-Service, dass es hier einfach abgedruckt werden muss.

SMS verschicken ist derzeit vor allem unter Teenies der allerletzte Schrei, koste es, was es wolle. Da kommt ein Service gerade recht, der kostenlos SMS von einer Webseite verschickt. Allerdings hängt der hier vorgestellte Anbieter Web.de eine kurze Werbung an jede SMS und begrenzt so die maximale Länge einer Nachricht von 160 auf 120 Zeichen.

Für kurze Nachrichten ist das aber ausreichend, wenn zum Beispiel der Systemverwalter sich Systemmeldungen oder die Subject-Zeilen wichtiger E-Mails aufs Handy schicken lassen will. Dazu müsste er lediglich dieses Webinterface im Hintergrund und ohne Interaktion aufrufen. Bei der Webseite [http://freesms.web.de/] handelt es sich um eine einfache CGI/POST-Anwendung, die man mittels des textbasierten Konsolenbrowsers Lynx auch auf der Kommandozeile oder in einem Cron-Job benutzen kann.

Einladung zum Spammen

Web.de ist sich natürlich klar darüber, dass ein solcher Service SMS-Spammer anzieht wie das Licht die Motten und hat daher eine paar Bremsen eingebaut. Ruft man die angegebene Webseite auf und klickt auf den Button »SMS schreiben«, kommt man zu dem eigentlichen SMS-Front-End. Links unten ist das GIF-Cookie zu sehen und rechts daneben das Feld, in das der Anwender die gezeigte Nummer eintragen muss (Abbildung 1). Zusätzlich gibt es in dem HTML-Formular einige versteckte Eingabefelder, die etwas kryptisch anmutende Informationen enthalten.

Leider stehen alle erforderlichen Informationen als Klartext im HTML-Code, so dass der Anwender sie in einem simplen Shellskript mit wenigen Kniffen auslesen und anwenden kann.

Als Proof of Concept habe ich ein solches Skript geschrieben[1], eigentlich mit dem Hintergrund, es für die genannte Admin-Aufgabe zu nutzen. Es ist aber nur eine Frage der Zeit, bis SMS-Spammer ebenfalls auf den Dreh kommen und dieselbe Methode nutzen. Web.de ist daher gut beraten, die Spam-Bremse bald zu verbessern.

Die Web-Anwendung von Web.de erzeugt das GIF-Bild (Cookie) offenbar mit einem recht einfachen Tool aus einem Ascii-String. Mit Hilfe von »gocr«[2], eines frei verfügbaren OCR-Programms, lässt sich die ursprüngliche Information auf einfachste Weise auslesen (siehe Listing 1, Zeile 3).

»$IMAGE« ist die URL der genannten Bilddatei, die sich mit einem einfachen Ausdruck aus der Webseite gewinnen lässt (Zeilen 1 und 2). Abschließend muss man mit »lynx -post_data« lediglich die zusammengeklaubten Daten nebst der Handynummer und der eigentlichen Nachricht an den SMS-Webserver schicken. In der Praxis hat es sich gezeigt, dass man mit dieser Methode in einer Stunde bis zu 1350 Werbebotschaften verschicken kann – und das auf Kosten von Web.de.

Listing 1: Code-Schnipsel aus »postsms«

1: lynx -source "http://freesms.web.de/SMS+schreiben"/  > text.html
2: IMAGE=$(sed -n 's/^.*src="/(.*SMS.*.*)" wi.*/ 1/ip' text.html)
3: lynx -dump "http://freesms.web.de/$IMAGE" |     giftopnm | gocr - | sed 's/ *//'

Infos

[1] Shellskript »postsms«: [ftp://ftp.linux- magazin.de/pub/listings/magazin/2001/11/]

[2] »gocr«: [http://jocr.sourceforge.net/]

LINUX-MAGAZIN KAUFEN
EINZELNE AUSGABE Print-Ausgaben Digitale Ausgaben
ABONNEMENTS Print-Abos Digitales Abo
TABLET & SMARTPHONE APPS Readly Logo
E-Mail Benachrichtigung
Benachrichtige mich zu:
0 Kommentare
Älteste
Neuste Beste Bewertung
Nach oben