atak za 16 USD pokazuje, jak łatwo operatorzy przechwytywają wiadomości tekstowe
w nowym artykule zatytułowanym „A Hacker Got All my Texts for $16”, Vice reporter Joseph Cox szczegółowo opisał, w jaki sposób haker w białym kapeluszu-pracownik dostawcy zabezpieczeń—był w stanie przekierować wszystkie swoje wiadomości tekstowe, a następnie włamać się do kont internetowych, które polegają na tekstach do uwierzytelniania.
to nie był przekręt sim swap, w którym „hakerzy oszukują lub przekupują pracowników telekomunikacji, aby przenieśli numer telefonu celu na własną kartę SIM” – napisał Cox. „Zamiast tego haker skorzystał z usługi firmy o nazwie Sakari, która pomaga firmom w marketingu SMS i masowym przesyłaniu wiadomości, aby przekierować do niego moje wiadomości.”
ta metoda skłoniła T-Mobile do przekierowania wiadomości tekstowych w sposób, który mógł nie być łatwo widoczny dla niczego nie podejrzewającego użytkownika. „W przeciwieństwie do SIM jackingu, gdzie ofiara całkowicie traci połączenie komórkowe, mój telefon wydawał się normalny” – napisał Cox. „Z wyjątkiem tego, że nigdy nie otrzymałem orędzi przeznaczonych dla mnie, ale on to zrobił.”
haker, który nazywa się „Lucky225”, jest dyrektorem ds. informacji w Okey Systems, dostawcy zabezpieczeń. „Użyłem karty przedpłaconej, aby kupić plan 16 na miesiąc, a następnie po tym, jak to się stało, pozwoliłem sobie ukraść numery, wypełniając fałszywe informacje o LOA” – powiedział pracownik Okey Cox. „LOA” to „list autoryzacyjny, dokument mówiący, że sygnatariusz ma prawo do zmiany numerów telefonów”, napisał Cox.
„kilka minut po wpisaniu mojego numeru T-Mobile do Sakari zaczęli otrzymywać SMS-y, które były przeznaczone dla mnie” – napisał Cox. „Nie otrzymałem żadnego powiadomienia telefonicznego ani SMS-owego od Sakari z prośbą o potwierdzenie, że mój numer będzie używany przez ich serwis. Po prostu przestałem dostawać smsy.”
po uzyskaniu dostępu do wiadomości Cox, „haker wysłał żądania logowania do Bumble, WhatsApp i Postmates, i łatwo uzyskał dostęp do kont”, powiedział artykuł.
„jeśli chodzi o to, w jaki sposób Sakari ma tę zdolność do przesyłania numerów telefonów, Nohl z laboratoriów badawczych bezpieczeństwa powiedział: ” nie ma standardowego globalnego protokołu do przekazywania wiadomości tekstowych stronom trzecim, więc ataki te polegałyby na indywidualnych umowach z Telco lub centrami SMS”, napisał Cox.
podczas gdy Cox jest użytkownikiem T-Mobile, haker powiedział mu, że ” przewoźnik nie ma znaczenia… To w zasadzie Dziki Zachód.”
CTIA: przewoźnicy podejmują teraz”środki ostrożności”
Okey oferuje narzędzie do monitorowania złośliwych zmian w mobilnej usłudze użytkownika. „Zapisz się do naszej bezpłatnej wersji beta, a my będziemy monitorować komunikację poza pasmem, taką jak trasy i ustawienia operatora. Jeśli dojdzie do złośliwego zdarzenia, powiadomimy cię za pomocą alternatywnych form zaufanej komunikacji”, mówi firma.
sami przewoźnicy mogą być w stanie powstrzymać tego typu ataki w przyszłości. T-Mobile, Verizon i AT&t skierowały do CTIA, stowarzyszenia handlowego reprezentującego najlepszych operatorów komórkowych. CTIA powiedział Coxowi:
po tym jak dowiedzieliśmy się o tym potencjalnym zagrożeniu, natychmiast podjęliśmy pracę, aby je zbadać i podjęliśmy środki ostrożności. Od tego czasu żaden przewoźnik nie był w stanie go odtworzyć. Nie mamy żadnych oznak złośliwej działalności związanej z potencjalnym zagrożeniem ani wpływu na klientów. Prywatność i bezpieczeństwo konsumentów jest naszym priorytetem i będziemy nadal badać tę sprawę.
to stwierdzenie nie mówi dokładnie, jakie środki ostrożności podjęli przewoźnicy, aby zapobiec atakowi. Skontaktowaliśmy się dziś z T-Mobile i CTIA i zaktualizujemy ten artykuł, jeśli uzyskamy więcej informacji.
Sakari również najwyraźniej ulepszył zabezpieczenia. Współzałożyciel Sakari, Adam Horsman, powiedział Coxowi, że Sakari, odkąd został poinformowany o ataku,” zaktualizował nasz hostowany proces przesyłania wiadomości, aby złapać to w przyszłości „i” dodał funkcję bezpieczeństwa, w której numer otrzyma automatyczne połączenie, które wymaga od użytkownika wysłania kodu bezpieczeństwa z powrotem do firmy, aby potwierdzić, że ma zgodę na przeniesienie tego numeru.”
skontaktowaliśmy się dzisiaj z Sakari w sprawie jej bezpieczeństwa i integracji z T-Mobile i zaktualizujemy ten artykuł, jeśli otrzymamy odpowiedź. Chociaż Sakari był zaangażowany w tę sprawę, inne firmy zewnętrzne mogą również mieć integracje z przewoźnikami, które otwierają klientów przewoźników na ataki. Sami przewoźnicy muszą być bardziej ostrożni w udzielaniu dostawcom zewnętrznym możliwości przekierowywania wiadomości tekstowych.
Aktualizacja o 14:48: Sakari odpowiedział na Ars oświadczeniem: „zamknęliśmy tę lukę w branży w Sakari, a inni dostawcy i operatorzy SMS powinni zrobić to samo. Kiedy przenosisz numer telefonu komórkowego w USA, na przykład klient zmieniający operatora na połączenia głosowe, operator, z którego wyjeżdżasz, autoryzuje odejście Twojego numeru. Nie ma takiego branżowego standardu przenoszenia własności wiadomości na numery komórkowe. Sakari już wykracza poza standardy branżowe w zakresie weryfikacji dla nowych klientów i postępuje zgodnie z wytycznymi naszego przewoźnika do listu, ale w świetle tego rozwoju dodaliśmy teraz połączenie weryfikacyjne do wszystkich nowych numerów tekstowych, aby nikt nie mógł ponownie wykorzystać Sakari do wykorzystania tej luki w branży. SMS jest niezwykle potężnym medium komunikacyjnym, a ponieważ nadal dominuje w krajobrazie komunikacyjnym, z zadowoleniem przyjmiemy potrzebne ulepszenia ze strony branży—zarówno przewoźników, jak i odsprzedawców.”
historia Coxa nie jest pierwszym przypomnieniem o niepewności SMS-ów. Ataki sim-swapping i wady protokołów telefonicznych SS7 już sprawiły, że korzystanie z wiadomości tekstowych do uwierzytelniania było ryzykowne, ale wiele stron internetowych i innych usług online nadal opiera się na tekstach w celu weryfikacji tożsamości użytkowników. Klienci mogą skonfigurować piny konta U T-Mobile i innych operatorów, aby zapobiec nieautoryzowanemu dostępowi do ich kont komórkowych, ale nie jest jasne, czy uniemożliwiłoby to rodzaj ataku, który przekierował wiadomości tekstowe Coxa.