$ 16 útok ukazuje, jak snadné dopravci, aby to zachytit textové zprávy
v novém článku s názvem „Hacker dostal všechny mé texty za 16$,“ Vice reportér Joseph Cox podrobně popsal, jak hacker s bílým kloboukem-zaměstnanec dodavatele zabezpečení – dokázal přesměrovat všechny své textové zprávy a poté se vloupat do online účtů, které se spoléhají na texty pro autentizaci.
nejednalo se o podvod SIM swap, ve kterém „hackeři podvádějí nebo podplácejí zaměstnance telekomunikací, aby přenesli telefonní číslo cíle na vlastní SIM kartu,“ napsal Cox. „Místo toho hacker použil službu společnosti s názvem Sakari, která pomáhá podnikům dělat SMS marketing a hromadné zasílání zpráv, k přesměrování mých zpráv k němu.“
tato metoda podvedla T-Mobile k přesměrování textových zpráv Cox způsobem, který nemusí být nic netušícímu uživateli snadno zřejmý. „Na rozdíl od SIM zvedání, kde oběť zcela ztratí mobilní službu, můj telefon vypadal normálně,“ napsal Cox. „Až na to, že jsem nikdy nedostal zprávy určené pro mě, ale on to udělal.“
hacker, který jde pod mononymem „Lucky225“, je ředitelem informací v Okey Systems, prodejci zabezpečení. „Použil jsem předplacenou kartu, abych si koupil plán $ 16 za měsíc, a poté, co to bylo provedeno, dovolte mi ukrást čísla pouhým vyplněním informací LOA falešnými informacemi,“ řekl zaměstnanec Okey Coxovi. „LOA“ je “ autorizační dopis, dokument, který říká, že podepisující osoba má pravomoc přepínat telefonní čísla,“ napsal Cox.
„několik minut poté, co zadali mé číslo T-Mobile do Sakari, začali přijímat textové zprávy, které byly určeny pro mě,“ napsal Cox. „Neobdržel jsem žádné volání ani textové oznámení od Sakari s žádostí o potvrzení, že moje číslo bude použito jejich službou. Prostě jsem přestal dostávat texty.“
po získání přístupu k coxovým zprávám „hacker poslal žádosti o přihlášení do Bumble, WhatsApp a Postmates a snadno se dostal k účtům,“ uvedl článek.
“ pokud jde o to, jak má Sakari tuto schopnost přenášet telefonní čísla, Nohl z Security Research Labs řekl :“ Neexistuje žádný standardizovaný globální protokol pro předávání textových zpráv třetím stranám, takže tyto útoky by se spoléhaly na individuální dohody s telcos nebo SMS rozbočovači, “ napsal Cox.
zatímco Cox je uživatel T-Mobile, hacker mu řekl, že “ dopravce nezáleží… Je to v podstatě Divoký západ.“
CTIA: dopravci nyní přijímají „preventivní opatření“
Okey nabízí nástroj pro sledování škodlivých změn mobilní služby uživatele. „Přihlaste se k naší bezplatné beta verzi a budeme sledovat komunikaci mimo pásmo, jako jsou vaše trasy a nastavení dopravce. Pokud dojde k škodlivé události, upozorníme vás prostřednictvím alternativních forem důvěryhodné komunikace, “ říká společnost.
samotní dopravci mohou být v budoucnu schopni tento typ útoku zastavit. T-Mobile, Verizon a AT&t odkázaly Cox na obchodní sdružení CTIA, které zastupuje špičkové mobilní dopravce. ČOI to řekla Coxovi:
poté, co jsme byli upozorněni na tuto potenciální hrozbu, okamžitě jsme pracovali na jejím vyšetřování a přijali preventivní opatření. Od té doby jej žádný dopravce nedokázal replikovat. Nemáme žádné náznaky jakékoli škodlivé činnosti zahrnující potenciální hrozbu nebo že by byli ovlivněni zákazníci. Soukromí a bezpečnost spotřebitelů je naší nejvyšší prioritou a tuto záležitost budeme i nadále vyšetřovat.
toto prohlášení neříká přesně, jaká preventivní opatření dopravci přijali, aby zabránili útoku. Dnes jsme kontaktovali T-Mobile a CTIA a tento článek aktualizujeme, pokud získáme další informace.
Sakari také zřejmě vylepšil zabezpečení. Sakari spoluzakladatel Adam Horsman řekl Coxovi, že Sakari má, protože byl informován o útoku, „aktualizoval náš hostovaný proces zasílání zpráv, aby to v budoucnu zachytil“ a “ přidal bezpečnostní funkci, kde číslo obdrží automatizované volání, které vyžaduje, aby uživatel poslal bezpečnostní kód zpět společnosti, potvrdit, že mají souhlas s převodem tohoto čísla.“
kontaktovali jsme Sakari dnes o jeho bezpečnosti a integraci s T-Mobile a bude aktualizovat tento článek, pokud dostaneme odpověď. Zatímco Sakari byl v tomto případě zapojen, jiné společnosti třetích stran mohou mít také integraci s dopravci, kteří otevírají zákazníky dopravců útokům. Samotní dopravci musí být opatrnější, když dávají prodejcům třetích stran možnost přesměrovat textové zprávy.
aktualizace v 2: 48 PM EDT: Sakari odpověděl na Ars prohlášením: „nyní jsme uzavřeli tuto mezeru v odvětví v Sakari a další poskytovatelé SMS a dopravci by měli udělat totéž. Když portujete číslo mobilního telefonu v USA, jako zákazník, který mění operátory pro hlasové hovory, dopravce, který opouštíte, povoluje odjezd vašeho čísla. Neexistuje žádný takový průmyslový standard pro převod vlastnictví zpráv na mobilní čísla. Sakari již jde nad rámec průmyslových standardů při ověřování nových klientů a dodržoval pokyny našeho dopravce k dopisu, ale ve světle tohoto vývoje jsme nyní přidali telefonní ověřovací hovor ke všem novým textovým číslům, takže nikdo nemůže použít Sakari k opětovnému využití této mezery v oboru. SMS je nesmírně silné komunikační médium, a protože nadále dominuje v komunikačním prostředí, uvítali bychom zlepšení potřebná z tohoto odvětví-dopravců i prodejců.“
Coxův příběh není první připomínkou nejistoty textových zpráv. SIM-swapping útoky a nedostatky v telefonních protokolech SS7 již učinily riskantní používat textové zprávy pro autentizaci, ale mnoho webových stránek a dalších online služeb se stále spoléhá na texty k ověření identity uživatelů. Zákazníci mohou nastavit Piny účtů u T-Mobile a dalších operátorů, aby zabránili neoprávněnému přístupu k jejich mobilním účtům, ale není jasné, zda by to zabránilo typu útoku, který přesměroval coxovy textové zprávy.