$16 attack megmutatja, hogy milyen könnyű hordozók teszik, hogy elfogják a szöveges üzenetek
egy új cikkben, amelynek címe: “egy Hacker megkapta az összes szövegemet 16 dollárért”, Joseph Cox helyettes riporter részletezte, hogy a fehér kalapos hacker-egy biztonsági eladó alkalmazottja—képes volt átirányítani az összes szöveges üzenetét, majd betörni az online fiókokba, amelyek a hitelesítéshez szövegekre támaszkodnak.
ez nem egy SIM-csere átverés volt, amelyben a hackerek becsapják vagy megvesztegetik a távközlési alkalmazottakat, hogy a célpont telefonszámát a saját SIM-kártyájukra helyezzék ” – írta Cox. “Ehelyett a hacker egy Sakari nevű cég szolgáltatását használta, amely segíti a vállalkozásokat az SMS marketingben és a tömeges üzenetküldésben, hogy átirányítsa az üzeneteimet neki.”
ez a módszer becsapott T-Mobile átirányítása Cox szöveges üzenetek oly módon, hogy nem lett volna könnyen nyilvánvaló, hogy egy gyanútlan felhasználó. “A SIM-emeléssel ellentétben, ahol az áldozat teljesen elveszíti a mobiltelefon-szolgáltatást, a telefonom normálisnak tűnt” – írta Cox. “Kivéve, hogy soha nem kaptam meg a nekem szánt üzeneteket, de ő megtette.”
a hacker, aki a “Lucky225” mononimával jár, az Okey Systems információs igazgatója, egy biztonsági gyártó. “Előre fizetett kártyával vásároltam havi 16 dolláros tervet, majd ezt követően hagytam, hogy ellopjam a számokat, csak a Loa info kitöltésével hamis információkkal” – mondta az Okey alkalmazott Cox-nak. A” LOA “” felhatalmazó levél, egy dokumentum, amely szerint az aláírónak joga van telefonszámot váltani ” – írta Cox.
“néhány perccel azután, hogy beírták a T-Mobile számomat a Sakariba, elkezdtek szöveges üzeneteket kapni, amelyeket nekem szántak” – írta Cox. “Nem kaptam hívást vagy szöveges értesítést Sakaritól, amelyben arra kérték, hogy erősítse meg, hogy a számomat a szolgálatuk használja. Egyszerűen abbahagytam a szövegeket.”
miután hozzáférést kapott Cox üzeneteihez, “a hacker bejelentkezési kéréseket küldött a Bumble-nak, a WhatsAppnak és a Postmates-nek, és könnyen hozzáférhetett a fiókokhoz” – mondta a cikk.
” ami azt illeti, hogy Sakari képes-e telefonszámok továbbítására, a biztonsági Kutatólaboratóriumokból származó Nohl azt mondta:” nincs szabványosított globális protokoll a szöveges üzenetek harmadik feleknek történő továbbítására, tehát ezek a támadások a telcos-szal vagy az SMS-központokkal kötött egyedi megállapodásokra támaszkodnak ” – írta Cox.
míg Cox egy T-Mobile felhasználó, a hacker azt mondta neki, hogy a “fuvarozó nem számít… Ez alapvetően a vadnyugat.”
CTIA: a fuvarozók most “óvintézkedéseket”tesznek
az Okey eszközt kínál a felhasználó mobilszolgáltatásának rosszindulatú változásainak megfigyelésére. “Iratkozzon fel ingyenes bétaverziónkra, és figyelemmel kísérjük a sávon kívüli kommunikációt, például az útvonalakat és a szolgáltató beállításait. Ha rosszindulatú esemény történik, a megbízható kommunikáció alternatív formáin keresztül értesítjük Önt” – mondja a vállalat.
a hordozók maguk is képesek lehetnek megállítani az ilyen típusú támadásokat a jövőben. T-Mobile, Verizon, és AT& T említett Cox CTIA, a kereskedelmi szövetség, amely képviseli a legjobb mobil szolgáltatók. CTIA mondta Cox:
miután tudomást szereztünk erről a potenciális veszélyről, azonnal azon dolgoztunk, hogy kivizsgáljuk, és óvintézkedéseket tettünk. Azóta egyetlen hordozó sem volt képes megismételni. Nincs arra utaló jel, hogy bármilyen rosszindulatú tevékenység magában foglalná a potenciális fenyegetést, vagy hogy az ügyfelek érintettek lennének. A fogyasztók adatvédelme és biztonsága a legfontosabb prioritásunk, és továbbra is kivizsgáljuk ezt az ügyet.
ez a nyilatkozat nem mondja ki pontosan, hogy a fuvarozók milyen óvintézkedéseket tettek a támadás megakadályozására. Ma felvettük a kapcsolatot a T-Mobile-lal és a CTIA-val, és frissítjük ezt a cikket, ha további információkat kapunk.
a Sakari nyilvánvalóan továbbfejlesztette a biztonságot is. A Sakari társalapítója, Adam Horsman elmondta Cox-nak, hogy Sakari rendelkezik, mióta tudomást szereztek a támadásról, “frissítette a tárolt üzenetküldési folyamatunkat, hogy ezt a jövőben elkapja”, és “hozzáadott egy biztonsági funkciót, ahol egy szám automatikus hívást fog kapni, amely megköveteli a felhasználótól, hogy küldjön egy biztonsági kódot vissza a vállalatnak, hogy megerősítsék, hogy beleegyeznek a szám átvitelébe.”
ma felvettük a kapcsolatot a Sakarival a T-Mobile biztonságával és integrációjával kapcsolatban, és frissítjük ezt a cikket, ha választ kapunk. Míg Sakari részt vett ebben az ügyben, más harmadik féltől származó vállalatok is integrálódhatnak olyan fuvarozókkal, amelyek megnyitják a fuvarozók ügyfeleit a támadásokhoz. Maguknak a fuvarozóknak óvatosabbnak kell lenniük abban, hogy harmadik féltől származó gyártók képesek legyenek átirányítani a szöveges üzeneteket.
Frissítés 2:48-kor EDT: Sakari az Ars-re egy nyilatkozattal válaszolt: “most bezártuk ezt az iparági kiskaput a Sakarinál és más SMS-szolgáltatóknál, és a szolgáltatóknak ugyanezt kell tenniük. Amikor mobiltelefonszámot hordoz az Egyesült Államokban, például egy ügyfél, aki szolgáltatót vált hanghívásokra, az Ön által elhagyott szolgáltató engedélyezi a szám távozását. Nincs ilyen iparági szabvány a mobilszámokon történő üzenetküldés tulajdonjogának átruházására. Sakari már túlmutat az új ügyfelek ellenőrzésére vonatkozó iparági szabványokon, és betű szerint követte szolgáltatónk irányelveit, de ennek a fejleménynek a fényében most hozzáadtunk egy telefonos ellenőrző hívást az összes új szöveges számhoz, így senki sem használhatja Sakarit az iparági kiskapu újbóli kihasználására. Az SMS rendkívül hatékony kommunikációs eszköz, és mivel továbbra is uralja a kommunikációs környezetet, örömmel fogadnánk az iparág—mind a fuvarozók, mind a viszonteladók-fejlesztéseit.”
Cox története nem az első emlékeztető a szöveges üzenetek bizonytalanságára. A SIM-csere támadások és az SS7 telefonprotokollok hibái már veszélyessé tették a szöveges üzenetek használatát a hitelesítéshez, de sok webhely és más online szolgáltatás továbbra is szövegekre támaszkodik a felhasználók személyazonosságának igazolására. Az ügyfelek fiók PIN-kódokat állíthatnak be a T-Mobile-nál és más szolgáltatóknál, hogy megakadályozzák a mobilfiókjaikhoz való jogosulatlan hozzáférést, de nem világos, hogy ez megakadályozta-e a COX szöveges üzeneteit átirányító támadás típusát.