目前,这适用于所有 iPhone 和一款已知的 Android 手机,目前已向运营商和 FCC 提出正式投诉。我怀疑他们会对此采取任何措施,因为这是 SMS 协议按预期工作,并且任何特定的欺骗技术(据我所知)都不有趣,也不是有效的错误报告。
无论如何,我也不是安全专家,我希望任何参考研究材料来帮助我写一份关于这实际上是如何工作的正式报告,但我的专业知识很少,只是偶然发现了这一点。任何已知的工具套件也可以帮助我做到这一点。
该漏洞利用本质上是纯粹的软件,显然除了电话之外没有使用硬件,我感觉这可能是运营商电子邮件 -> SMS 网关的问题,对我来说,这可能是他们可以解决的问题。
制作演示视频。
我发现演示视频是传达安全问题的一种非常有效的方式,可以吸引经理的注意力,否则他们会将其视为“极客谈论极客”。
尝试使视频尽可能真实。包括一个不仅仅是“哦,看,这不应该发生”的例子,而是实际上给出了一个合理的现实世界场景,这将是一个严重的问题。
不要在视频中包含技术细节。如果有技术步骤,只需显示某人在计算机上运行一些命令 - 甚至可以模糊屏幕以隐藏命令。该视频是为了展示会发生什么,而不是如何发生。这也意味着视频不那么敏感,因为它不包含漏洞的技术细节。
如果只有一些运营商易受攻击,请包括一个尝试对非易受攻击的运营商进行相同攻击的示例 - 以表明它没有成功。
首先私下与运营商分享视频,并告诉他们如果您没有得到足够及时的回复,您将更广泛地分享视频。
这是我自己和同事在演示视频中的一个例子。