¿Cómo asegurar la función de envío de SMS en aplicaciones web? Si una aplicación utiliza una puerta de enlace SMS de terceros, los SMS también pueden ser falsificados. Al igual que el atacante, puede cambiar el número de móvil con firebug y abusar de la puerta de enlace de SMS para enviar mensajes falsos como mensajes de phishing a la víctima. ¿Cómo podemos asegurar la aplicación web de este ataque?
Si la puerta de enlace SMS es vulnerable a este tipo de ataques de suplantación de identidad, debe resolverse en el proveedor de la puerta de enlace SMS.
En la mayoría de los países, también es una ley que el número de teléfono que envía no se pueda falsificar.
En cuanto a la solución, creo que lo que podría hacer es crear una API que solo acepte el mensaje SMS de la aplicación web.
Se puede configurar un número de teléfono estático en la configuración de la API. A cambio, la API enviará la solicitud al proveedor de la pasarela SMS. De esta manera, un atacante no puede ver ni modificar el número de teléfono tal como se envía desde la API.
A menos que opere la infraestructura de telefonía desde la puerta de enlace hasta el mástil, entonces el número se puede falsificar.
A! aunque el protocolo del paquete de datos fue diseñado para admitir el enlace de múltiples aplicaciones usando números de puerto de manera similar a UDP (y por lo tanto, enviar mensajes multiparte encriptados / firmados), en la práctica sería difícil aprovisionar tal cita en la mayoría de los casos. teléfonos móviles.
Entonces, si desea solucionar el problema, solo necesita que todos los operadores y fabricantes de dispositivos móviles del mundo (o una gran mayoría de ellos) acepten un nuevo protocolo.
O simplemente canalice datos cifrados / firmados a través de WAP o correo electrónico.
Lea otras preguntas en las etiquetas sms