$16 attack viser, hvor let luftfartsselskaber gør det at opfange tekstbeskeder
i en ny artikel med titlen “en Hacker fik alle mine tekster til $16,” Vice reporter Joseph detaljeret, hvordan den hvide hat hacker-en medarbejder hos en sikkerhedsleverandør—var i stand til at omdirigere alle sine tekstbeskeder og derefter bryde ind i online—konti, der er afhængige af tekster til godkendelse.
dette var ikke en sim bytte fidus, hvor “hackere narre eller bestikke telecom medarbejdere til port et mål telefonnummer til deres eget SIM-kort,” skrev han. “I stedet brugte hackeren en tjeneste fra et firma kaldet Sakari, som hjælper virksomheder med SMS-marketing og massemeddelelser til at omdirigere mine beskeder til ham.”
denne metode narrede T-Mobile til at omdirigere KKS tekstbeskeder på en måde, der måske ikke har været let synlig for en intetanende bruger. “I modsætning til SIM jacking, hvor et offer mister celletjenesten helt, syntes min telefon normal,” skrev han. “Bortset fra at jeg aldrig modtog de beskeder, der var beregnet til mig, men det gjorde han.”
hackeren, der går under mononymet” Lucky225″, er direktør for information hos Okey Systems, en sikkerhedsleverandør. “Jeg brugte et forudbetalt kort til at købe $16-per-måned plan og derefter efter det var gjort det lad mig stjæle numre bare ved at udfylde LOA info med falske info,” Okey medarbejder fortalte
“et par minutter efter, at de indtastede mit T-mobilnummer i Sakari, begyndte at modtage tekstbeskeder, der var beregnet til mig,” skrev han. “Jeg modtog ingen opkald eller tekstmeddelelse fra Sakari, der bad om at bekræfte, at mit nummer ville blive brugt af deres tjeneste. Jeg stoppede simpelthen med at få tekster.”
efter at have fået adgang til KKS meddelelser, “hackeren sendte loginanmodninger til Bumble, Hvadapp og Postkammerater og fik let adgang til kontiene,” sagde artiklen.
“hvad angår hvordan Sakari har denne evne til at overføre telefonnumre, sagde Nohl fra Security Research Labs,” der er ingen standardiseret global protokol til videresendelse af tekstbeskeder til tredjepart, så disse angreb ville stole på individuelle aftaler med teleselskaber eller SMS-hubs, ” skrev han.
mens han er en T-Mobile-bruger, fortalte hackeren ham, at “transportøren betyder ikke noget… Det er dybest set det vilde vesten.”
CTIA: luftfartsselskaber tager nu”forsigtighedsforanstaltninger”
Okey tilbyder et værktøj til overvågning af ondsindede ændringer i en brugers mobiltjeneste. “Tilmeld dig vores gratis beta, så overvåger vi kommunikation uden for båndet, såsom dine ruter og operatørindstillinger. Hvis en ondsindet begivenhed finder sted, vi advarer dig gennem alternative former for pålidelig kommunikation,” siger virksomheden.
luftfartsselskaberne selv kan muligvis stoppe denne type angreb i fremtiden. T-Mobile og&t henviste til CTIA, brancheforeningen, der repræsenterer de bedste mobiloperatører. CTIA fortalte:
efter at være blevet gjort opmærksom på denne potentielle trussel, vi arbejdede straks for at undersøge det, og tog forholdsregler. Siden da har ingen transportør været i stand til at replikere det. Vi har ingen indikation af nogen ondsindet aktivitet, der involverer den potentielle trussel, eller at nogen kunder blev påvirket. Forbrugernes privatliv og sikkerhed er vores højeste prioritet, og vi vil fortsætte med at undersøge denne sag.
denne erklæring siger ikke nøjagtigt, hvilke forholdsregler luftfartsselskaberne har truffet for at forhindre angrebet. Vi kontaktede T-Mobile og CTIA i dag og opdaterer denne artikel, hvis vi får flere oplysninger.
Sakari har også tilsyneladende opgraderet sikkerhed. Sakari-medstifter Adam Horsman fortalte, at Sakari har, siden han blev gjort opmærksom på angrebet, “opdateret vores hostede meddelelsesproces for at fange dette i fremtiden” og “tilføjet en sikkerhedsfunktion, hvor et nummer vil modtage et automatiseret opkald, der kræver, at brugeren sender en sikkerhedskode tilbage til virksomheden, for at bekræfte, at de har samtykke til at overføre dette nummer.”
vi kontaktede Sakari i dag om sin sikkerhed og integration med T-Mobile og vil opdatere denne artikel, hvis vi får et svar. Mens Sakari var involveret i denne sag, kan andre tredjepartsvirksomheder også have integrationer med luftfartsselskaber, der åbner luftfartsselskabernes kunder for angreb. Luftfartsselskaberne skal selv være mere forsigtige med at give tredjepartsleverandører mulighed for at omdirigere tekstbeskeder.
opdatering kl 2:48 EDT: Sakari svarede på Ars med en erklæring, der sagde: “Vi har nu lukket dette industri smuthul hos Sakari, og andre SMS-udbydere og luftfartsselskaber skal gøre det samme. Når du port et mobiltelefonnummer i USA, som en kunde, der skifter transportører til taleopkald, godkender den transportør, du forlader, dit nummers afgang. Der er ingen sådan industristandard for overførsel af ejerskab af meddelelser på mobilnumre. Sakari går allerede ud over industristandarder for verifikation for nye kunder og fulgte vores luftfartsselskabs retningslinjer til punkt og prikke, men i lyset af denne udvikling har vi nu tilføjet et telefonbekræftelsesopkald til alle nye tekstaktiverede numre, så ingen kan bruge Sakari til at udnytte dette industriens smuthul igen. SMS er et enormt stærkt kommunikationsmedium, og da det fortsætter med at dominere kommunikationslandskabet, vi glæder os over forbedringer, der er nødvendige fra branchen—både transportører og forhandlere.”
KKS historie er ikke den første påmindelse om usikkerheden i tekstbeskeder. SIM-bytte angreb og fejl i SS7-telefonprotokollerne gjorde det allerede risikabelt at bruge tekstbeskeder til godkendelse, men mange hjemmesider og andre onlinetjenester er stadig afhængige af tekster for at verificere brugernes identitet. Kunder kan konfigurere konto-PINs med T-Mobile og andre udbydere for at forhindre uautoriseret adgang til deres mobilkonti, men det er ikke klart, om det ville have forhindret den type angreb, der omdirigerede KKS tekstbeskeder.