$16 Angriff zeigt, wie einfach Träger es machen, Textnachrichten abzufangen
In einem neuen Artikel mit dem Titel „Ein Hacker hat alle meine Texte für 16 US-Dollar erhalten“ beschrieb der Vice—Reporter Joseph Cox, wie der White—Hat-Hacker – ein Angestellter eines Sicherheitsanbieters – alle seine Textnachrichten umleiten und dann in Online-Konten einbrechen konnte Verlassen Sie sich auf Texte zur Authentifizierung.
Dies war kein SIM-Swap-Betrug, bei dem „Hacker Telekommunikationsangestellte austricksen oder bestechen, um die Telefonnummer eines Ziels auf ihre eigene SIM-Karte zu portieren“, schrieb Cox. „Stattdessen nutzte der Hacker einen Dienst einer Firma namens Sakari, der Unternehmen bei SMS-Marketing und Massennachrichten hilft, um meine Nachrichten an ihn umzuleiten.“
Diese Methode brachte T-Mobile dazu, die Textnachrichten von Cox auf eine Weise umzuleiten, die für einen ahnungslosen Benutzer möglicherweise nicht ohne weiteres ersichtlich war. „Im Gegensatz zum SIM-Jacking, bei dem ein Opfer den Mobilfunkdienst vollständig verliert, schien mein Telefon normal zu sein“, schrieb Cox. „Außer dass ich nie die für mich bestimmten Nachrichten erhalten habe, aber er hat es getan.“
Der Hacker, der unter dem Mononym „Lucky225″bekannt ist, ist Director of Information bei Okey Systems, einem Sicherheitsanbieter. „Ich habe eine Prepaid-Karte verwendet, um einen Plan für 16 US-Dollar pro Monat zu kaufen, und danach habe ich Nummern stehlen lassen, indem ich LOA-Informationen mit gefälschten Informationen ausgefüllt habe“, sagte der Okey-Mitarbeiter gegenüber Cox. Die „LOA“ ist „ein Autorisierungsschreiben, ein Dokument, das besagt, dass der Unterzeichner befugt ist, Telefonnummern zu wechseln“, schrieb Cox.
„Ein paar Minuten, nachdem sie meine T-Mobile-Nummer in Sakari eingegeben hatten, erhielten sie Textnachrichten, die für mich bestimmt waren“, schrieb Cox. „Ich habe keinen Anruf oder eine SMS-Benachrichtigung von Sakari erhalten, in der ich darum gebeten habe, zu bestätigen, dass meine Nummer von ihrem Dienst verwendet wird. Ich habe einfach aufgehört, Texte zu bekommen.“
Nachdem der Hacker Zugriff auf Cox ‚Nachrichten erhalten hatte, „schickte er Anmeldeanfragen an Bumble, WhatsApp und Postmates und griff leicht auf die Konten zu“, heißt es in dem Artikel.
„In Bezug darauf, wie Sakari diese Fähigkeit hat, Telefonnummern zu übertragen, sagte Nohl von Security Research Labs: „Es gibt kein standardisiertes globales Protokoll für die Weiterleitung von Textnachrichten an Dritte, so dass diese Angriffe auf individuellen Vereinbarungen mit Telekommunikationsunternehmen oder SMS-Hubs beruhen würden“, schrieb Cox.
Während Cox ein T-Mobile-Benutzer ist, sagte ihm der Hacker, dass der „Carrier keine Rolle spielt… Es ist im Grunde der wilde Westen.“
CTIA: Carrier ergreifen jetzt „Vorsichtsmaßnahmen“
Okey bietet ein Tool zur Überwachung böswilliger Änderungen am mobilen Dienst eines Benutzers. „Melden Sie sich für unsere kostenlose Beta an und wir überwachen die Out-of-Band-Kommunikation wie Ihre Routen und Carrier-Einstellungen. Wenn ein böswilliges Ereignis stattfindet, werden wir Sie durch alternative Formen der vertrauenswürdigen Kommunikation benachrichtigen „, sagt das Unternehmen.
Die Träger selbst könnten in der Lage sein, diese Art von Angriff in Zukunft zu stoppen. T-Mobile, Verizon und AT& T verwiesen Cox an CTIA, den Handelsverband, der die Top-Mobilfunkanbieter vertritt. CTIA sagte Cox:
Nachdem wir auf diese potenzielle Bedrohung aufmerksam geworden waren, haben wir sofort daran gearbeitet, sie zu untersuchen, und Vorsichtsmaßnahmen getroffen. Seitdem war kein Träger in der Lage, es zu replizieren. Wir haben keine Hinweise auf böswillige Aktivitäten, die die potenzielle Bedrohung betreffen, oder darauf, dass Kunden betroffen waren. Die Privatsphäre und Sicherheit der Verbraucher hat für uns oberste Priorität, und wir werden diese Angelegenheit weiterhin untersuchen.
Diese Aussage sagt nicht genau aus, welche Vorsichtsmaßnahmen die Träger getroffen haben, um den Angriff zu verhindern. Wir haben heute T-Mobile und CTIA kontaktiert und werden diesen Artikel aktualisieren, wenn wir weitere Informationen erhalten.
Sakari hat anscheinend auch die Sicherheit verbessert. Adam Horsman, Mitbegründer von Sakari, sagte gegenüber Cox, dass Sakari seit Bekanntwerden des Angriffs „unseren gehosteten Messaging-Prozess aktualisiert hat, um dies in Zukunft abzufangen“ und „eine Sicherheitsfunktion hinzugefügt hat, bei der eine Nummer einen automatisierten Anruf erhält, bei dem der Benutzer einen Sicherheitscode an das Unternehmen zurücksenden muss, um zu bestätigen, dass er der Übertragung dieser Nummer zugestimmt hat.“
Wir haben Sakari heute wegen seiner Sicherheit und Integration in T-Mobile kontaktiert und werden diesen Artikel aktualisieren, wenn wir eine Antwort erhalten. Während Sakari an diesem Fall beteiligt war, haben möglicherweise auch andere Drittunternehmen Integrationen mit Carriern, die die Kunden der Carrier für Angriffe öffnen. Die Netzbetreiber selbst müssen vorsichtiger sein, wenn sie Drittanbietern die Möglichkeit geben, Textnachrichten umzuleiten.
Update bei 2: 48 pm EDT: Sakari antwortete auf Ars mit einer Erklärung: „Wir haben jetzt diese Branchenlücke bei Sakari geschlossen und andere SMS-Anbieter und -Carrier sollten dasselbe tun. Wenn Sie eine Mobiltelefonnummer in den USA portieren, z. B. wenn ein Kunde den Mobilfunkanbieter für Sprachanrufe wechselt, autorisiert der Mobilfunkanbieter, den Sie verlassen, die Abfahrt Ihrer Nummer. Es gibt keinen solchen Industriestandard für die Übertragung des Eigentums an Messaging auf Mobiltelefonnummern. Sakari geht bereits über die Industriestandards für die Verifizierung neuer Kunden hinaus und hat die Richtlinien unseres Carriers genau befolgt, Aber angesichts dieser Entwicklung haben wir jetzt allen neuen textfähigen Nummern einen telefonischen Verifizierungsanruf hinzugefügt, damit niemand Sakari verwenden kann, um diese Branchenlücke erneut auszunutzen. SMS ist ein enorm leistungsfähiges Kommunikationsmedium, und da es weiterhin die Kommunikationslandschaft dominiert, würden wir Verbesserungen begrüßen, die von der Branche — sowohl von Carriern als auch von Wiederverkäufern – erforderlich sind.“
Cox ‚Geschichte ist nicht die erste Erinnerung an die Unsicherheit von Textnachrichten. SIM-Swapping-Angriffe und Fehler in den SS7-Telefonprotokollen machten es bereits riskant, Textnachrichten zur Authentifizierung zu verwenden, Aber viele Websites und andere Online-Dienste verlassen sich immer noch auf Texte, um die Identität der Benutzer zu überprüfen. Kunden können Konto-PINs bei T-Mobile und anderen Mobilfunkanbietern einrichten, um unbefugten Zugriff auf ihre Mobilfunkkonten zu verhindern, es ist jedoch nicht klar, ob dies die Art von Angriff verhindert hätte, bei dem die Textnachrichten von Cox umgeleitet wurden.