attack 16 attacco mostra come facile vettori rendono per intercettare i messaggi di testo
In un nuovo articolo intitolato “Un hacker ha ottenuto tutti i miei testi per $16”, Vice reporter Joseph Cox dettagliato come l’hacker cappello bianco-un dipendente di un fornitore di sicurezza—è stato in grado di reindirizzare tutti i suoi messaggi di testo e poi rompere in conti online che si basano su testi per l’autenticazione.
Questa non era una truffa SIM swap, in cui “gli hacker ingannano o corrompono i dipendenti delle telecomunicazioni per portare il numero di telefono di un bersaglio sulla propria scheda SIM”, ha scritto Cox. “Invece, l’hacker ha utilizzato un servizio di una società chiamata Sakari, che aiuta le aziende a fare marketing SMS e messaggistica di massa, per reindirizzare i miei messaggi a lui.”
Questo metodo ha ingannato T-Mobile nel reindirizzare i messaggi di testo di Cox in un modo che potrebbe non essere stato facilmente evidente a un utente ignaro. “A differenza del SIM jacking, in cui una vittima perde completamente il servizio cellulare, il mio telefono sembrava normale”, ha scritto Cox. “Tranne che non ho mai ricevuto i messaggi destinati a me, ma lo ha fatto.”
L’hacker, che va sotto il mononimo “Lucky225”, è direttore delle informazioni presso Okey Systems, un fornitore di sicurezza. “Ho usato una carta prepagata per acquistare un piano di plan 16 al mese e poi, dopo che è stato fatto, mi ha permesso di rubare i numeri semplicemente compilando le informazioni LOA con informazioni false”, ha detto il dipendente Okey a Cox. Il” LOA “è” una lettera di autorizzazione, un documento che dice che il firmatario ha l’autorità di cambiare i numeri di telefono”, ha scritto Cox.
“Pochi minuti dopo aver inserito il mio numero T-Mobile in Sakari, ha iniziato a ricevere messaggi di testo che erano pensati per me”, ha scritto Cox. “Non ho ricevuto alcuna chiamata o notifica di testo da Sakari chiedendo di confermare che il mio numero sarebbe stato utilizzato dal loro servizio. Ho semplicemente smesso di ricevere messaggi.”
Dopo aver ottenuto l’accesso ai messaggi di Cox, “l’hacker ha inviato richieste di accesso a Bumble, WhatsApp, e Postmates, e facilmente accessibili i conti,” l’articolo ha detto.
“Per quanto riguarda il modo in cui Sakari ha questa capacità di trasferire numeri di telefono, Nohl di Security Research Labs ha dichiarato:” non esiste un protocollo globale standardizzato per l’inoltro di messaggi di testo a terzi, quindi questi attacchi si baserebbero su singoli accordi con telco o hub SMS”, ha scritto Cox.
Mentre Cox è un utente T-Mobile, l’hacker gli ha detto che il ” vettore non importa… Fondamentalmente è il selvaggio west.”
CTIA: I vettori ora prendono”misure precauzionali”
Okey offre uno strumento per monitorare le modifiche dannose al servizio mobile di un utente. “Iscriviti alla nostra beta gratuita e monitoreremo le comunicazioni fuori banda come i tuoi percorsi e le impostazioni del gestore. Se si verifica un evento dannoso, ti avviseremo attraverso forme alternative di comunicazione attendibile”, afferma la società.
I vettori stessi potrebbero essere in grado di fermare questo tipo di attacco in futuro. T-Mobile, Verizon,e AT & T di cui Cox a CTIA, l’associazione di categoria che rappresenta i principali operatori di telefonia mobile. CTIA ha detto Cox:
Dopo essere stati informati di questa potenziale minaccia, abbiamo lavorato immediatamente per indagare e abbiamo preso misure precauzionali. Da quel momento, nessun vettore è stato in grado di replicarlo. Non abbiamo alcuna indicazione di attività dannose che coinvolgono la potenziale minaccia o che i clienti sono stati colpiti. La privacy e la sicurezza dei consumatori sono la nostra massima priorità e continueremo a indagare su questo argomento.
Questa dichiarazione non dice esattamente quali misure precauzionali i vettori hanno preso per prevenire l’attacco. Abbiamo contattato T-Mobile e CTIA oggi e aggiorneremo questo articolo se otteniamo ulteriori informazioni.
Sakari ha anche apparentemente aggiornato la sicurezza. Il co-fondatore di Sakari Adam Horsman ha detto a Cox che Sakari, da quando è stato messo a conoscenza dell’attacco, “ha aggiornato il nostro processo di messaggistica ospitato per catturarlo in futuro” e “ha aggiunto una funzione di sicurezza in cui un numero riceverà una chiamata automatica che richiede all’utente di inviare un codice di sicurezza alla società, per confermare”
Abbiamo contattato Sakari oggi circa la sua sicurezza e l’integrazione con T-Mobile e aggiorneremo questo articolo se otteniamo una risposta. Mentre Sakari è stato coinvolto in questo caso, altre società di terze parti potrebbero anche avere integrazioni con i vettori che aprono i clienti dei vettori agli attacchi. I vettori stessi devono essere più attenti a dare fornitori di terze parti la possibilità di reindirizzare i messaggi di testo.
Aggiornamento alle 2: 48 pm EDT: Sakari ha risposto ad Ars con una dichiarazione che diceva: “Ora abbiamo chiuso questa scappatoia del settore a Sakari e altri fornitori di SMS e vettori dovrebbero fare lo stesso. Quando si porta un numero di cellulare negli Stati Uniti, come un cliente di commutazione vettori per le chiamate vocali, il vettore si sta lasciando autorizza la partenza del tuo numero. Non esiste uno standard industriale per il trasferimento della proprietà della messaggistica sui numeri di cellulare. Sakari va già al di là degli standard di settore sulla verifica per i nuovi clienti e ha seguito le linee guida del nostro operatore alla lettera, ma alla luce di questo sviluppo abbiamo ora aggiunto una chiamata di verifica telefonica a tutti i nuovi numeri abilitati al testo in modo che nessuno possa utilizzare Sakari per sfruttare nuovamente questa scappatoia del settore. SMS è un mezzo di comunicazione estremamente potente, e mentre continua a dominare il panorama della comunicazione, saremmo lieti miglioramenti necessari da parte del settore—sia vettori e rivenditori.”
La storia di Cox non è il primo promemoria sull’insicurezza dei messaggi di testo. SIM-swapping attacchi e difetti nei protocolli telefonici SS7 già reso rischioso utilizzare i messaggi di testo per l’autenticazione, ma molti siti web e altri servizi online si basano ancora su testi per verificare le identità degli utenti. I clienti possono impostare i PIN dell’account con T-Mobile e altri vettori per impedire l’accesso non autorizzato ai loro account cellulari, ma non è chiaro se così facendo avrebbe impedito il tipo di attacco che reindirizzava i messaggi di testo di Cox.