用短信搞死对方的S60手机

qin · 发表于 2009-1-3 19:59:50

2008年12月30日，国外暴出了S60平台智能手机的短信息功能假死漏洞。
视频地址：http://www.youtube.com/watch?v=XIn75-TQc9Q
漏洞利用步骤：
用手机发送一条包含32位以上的邮件地址加上一个空格给以下S60的手机：
S60 3rd Edition, Feature Pack 1 (S60 3.1):
Nokia E90 Communicator
Nokia E71
Nokia E66
Nokia E51
Nokia N95 8GB
Nokia N95
Nokia N82
Nokia N81 8GB
Nokia N81
Nokia N76
Nokia 6290
Nokia 6124 classic
Nokia 6121 classic
Nokia 6120 classic
Nokia 6110 Navigator
Nokia 5700 XpressMusic

S60 3rd Edition, initial release (S60 3.0):
Nokia E70
Nokia E65
Nokia E62
Nokia E61i
Nokia E61
Nokia E60
Nokia E50
Nokia N93i
Nokia N93
Nokia N92
Nokia N91 8GB
Nokia N91
Nokia N80
Nokia N77
Nokia N73
Nokia N71
Nokia 5500
Nokia 3250

S60 2nd Edition, Feature Pack 3 (S60 2.8):
Nokia N90
Nokia N72
Nokia N70

S60 2nd Edition, Feature Pack 2 (S60 2.6):
Nokia 6682
Nokia 6681
Nokia 6680
Nokia 6630
效果：利用该漏洞，可以锁死手机的信息功能，对方再收发不了短信，甚至死机...目前无解决办法

预防和解决方法：因为目前没有任何解决方法，只好用这个软件：FortiCleanUp tool - 防止S60短信漏洞

破碎心 · 发表于 2009-1-3 20:42:20

不是只在国产的手机上有用吗？前一段时间报道的

Julian · 发表于 2009-1-3 20:46:15

有兴趣一试

Julian · 发表于 2009-1-3 20:46:58

2# 破碎心

那是山寨机的芯片，短信要写“我要你的手机死机”

竹雨残荷 · 发表于 2009-1-3 20:47:32

没有N78，偶也。。。

qin · 发表于 2009-1-3 21:00:25

5# 竹雨残荷
要么发个试试N78能不能用？

Julian · 发表于 2009-1-3 21:21:24

本帖最后由 Julian 于 2009-1-4 20:18 编辑

set TP-Protocol-Identifier of SMS message to "Internet Electronic Mail" (value:50/0x32)
是什么意思，不是普通短信？

自己补上：
协议标识TP-PID
00 TP-Protocol-Identifier（上层协议指示），一般设置为00，表示普通GSM，点对点

所以视频“教程”上value为50是不是说发的是电子邮件？下面的长度TP-UDL要不要改成32？

哎，不懂。。这是通信工程系的事情~~

原文转：

PDU的构成
PDU是由一串由“0-9”及“A-F”组成。表面上看起来就是一组16进制的数所组成的。
下面举一个发送和接收的例子。
1、手机发送的一个PDU串：
0891683108200805F011190D91683188902848F40008FF108FD9662F4E0067616D4B8BD577ED4FE
对比3GPP协议得到：（二进制代码从左到右依次为高位->低位）
短信中心地址字段
08 地址长度：8个字节，包括其后的91
91 地址类型：10010001
Bit7：1。始终为1
Bits 6,5,4：Type-of-Number（号码类型）：001，代表Internation Number。也即是号码前加“+”。注意：对某些比较特别的号码，例如手机和小灵通的互通时，这里不能设置为001，而要设置成000，代表号码前没有 “+”，否则无法接收。
Bits 3,2,1：Numbering-plan-identification：一般默认为0001，表示电话号码类型的。
683108200805F0 短信中心号码：一个字节内反转，8613800280500，如果长度为奇数则需要加“F”补齐
FirstOctet字段
11 包含TP-MTI(2bit)，TP-RD(1bit)，TP-VPF(2bit)，TP-RP（1bit），TP-UDHI(1bit)，TP-SRR(1bit)
二进制表示形式：0 0 0 10 0 01
TP-MTI：01
TP-Message-Type-Indicator（消息类型指示符）
Bit1,0：01 指示为SMS-SUBMIT类型
TP-RD：0
TP-Reject-Duplicates（是否拒绝相同重复消息）
Bit2：0 指示短消息中心接受未转发的具有相同TP-MR的消息。
TP-VPF：10
TP-Validity-Period-Format（有效期格式）
Bit4,3：10 指示使用相对格式。
TP-SRR：0
TP-Status-Report-Request
Bit5：0 指示不使用状态报告。
TP-UDHI：0
TP-User-Data-Header-Indicator（用户数据头标示）
Bit6：0 指示这是个SMS消息，没有用户数据头。EMS消息需要设置。
TP-RP：0
TP-Reply-Path（回复路径）
Bit7：0 指示没有设置回复路径。
消息参考值TP-MR
19 TP-Message-Reference
对方号码字段
0D91683188902848F4
其结构和短信中心号码字段部分类似，不再赘述。
协议标识TP-PID
00 TP-Protocol-Identifier（上层协议指示），一般设置为00，表示普通GSM，点对点
编码方法TP-DCS
08 TP-Data-Coding-Scheme（数据编码设置），指示TP-UD的编码方式。08代表Unicode方式。00为7Bit编码
有效期TP-VP
FF TP-Validity-Period（有效期）。FF表示最大。
用户数据长度TP-UDL
10 TP-User-Data-Length（用户数据长度）
0x10长度。注意不同编码下用户长度定义不同。
用户数据TP-UD
8FD9662F4E0067616D4B8BD577ED4FE TP-User-Data
中文“这是一条测试短信”的Unicode编码
2、手机接收的PDU串
0891683108200805F0040D91683188902848F4000850208151754500108FD9662F4E0067616D4B8BD577ED4FE1
短信中心地址字段
0891683108200805F0：+861380280500
FirstOctet
04
其二进制代码：00000100
TP-MTI：00
TP-MMS(TP-More-Message-to-Send)：1 短信中心没有更多的消息发送
TP-SRI：0
TP-UDHI：0
TP-RP：0
发送方号码
0D91683188902848F4：+8613880982844
协议标识
00 TP-DCS 点对点
编码方式
08 TP-DCS Unicode编码
短信中心时间戳
50208151754500 TP-SCTS 字节反转05/02/18 15：57：45 最后的00代表时区，这里为0
用户数据长度
10 TP-DHL
用户数据
8FD9662F4E0067616D4B8BD577ED4FE1 TP-UD
中文“这是一条测试短信”的Unicode编码

竹雨残荷 · 发表于 2009-1-3 21:33:11

[发帖际遇]: 竹雨残荷买水果，老板多找了金钱5.

经验证，对本人的手机没用。。。

雪山飞猪 · 发表于 2009-1-3 23:28:22

[发帖际遇]: 雪山飞猪坐公车的时候被小贼偷了一部NOKIA手机, 损失金钱4.

ls真是敢于尝试的勇士呀~~莫非早就想换手机了？？

竹雨残荷 · 发表于 2009-1-3 23:30:14

[发帖际遇]: 竹雨残荷获得本周补贴金钱8.

这个8是我主动验证的，是人家发过来验证的。。。
5555555555555555555555555555

Julian · 发表于 2009-1-4 20:02:12

囧楼上。。

我想给一个同学试，他已经打好补丁了

Julian · 发表于 2009-1-4 20:39:18

刚在旧的西门子手机里找到了设置。。它可以设置短信配置文件（包括服务中心号码，收件人，信息类型，有效期限等，和PDU串的构成挺对应的，应该就是PDU的配置文件），其中信息类型有：标准文本，传真，电子邮件……所以我可以设到电子邮件然后试试。。。

但是windows mobile的智能系统还没找到设置的地方。。。

HONGTAO · 发表于 2009-1-9 17:54:56

强啊！

		自动登录	找回密码
密码			注册账号