$16 atac arată cât de ușor transportatorii face pentru a intercepta mesaje text
într-un nou articol intitulat „un Hacker mi—a primit toate textele pentru 16 dolari”, Reporterul Vice Joseph Cox a detaliat modul în care hackerul cu pălărie albă—angajat la un furnizor de securitate-a reușit să-și redirecționeze toate mesajele text și apoi să pătrundă în conturi online care se bazează pe texte pentru autentificare.
aceasta nu a fost o înșelătorie SIM swap, în care „hackerii păcălesc sau mituiesc angajații telecom pentru a porta numărul de telefon al unei ținte pe propria cartelă SIM”, a scris Cox. „În schimb, hackerul a folosit un serviciu al unei companii numite Sakari, care ajută companiile să facă marketing prin SMS și mesagerie în masă, pentru a-mi redirecționa mesajele către el.”
această metodă păcălit T-Mobile în redirecționarea mesajelor text Cox într-un mod care nu ar fi putut fi ușor evidente pentru un utilizator încrezători. „Spre deosebire de SIM jacking, în cazul în care o victimă își pierde serviciul mobil în întregime, telefonul meu părea normal”, a scris Cox. „Cu excepția faptului că nu am primit niciodată mesajele destinate pentru mine, dar el a făcut-o.”
hackerul, care poartă mononimul” Lucky225″, este director de informații la Okey Systems, un furnizor de securitate. „Am folosit un card preplătit pentru a cumpăra un plan de 16 dolari pe lună și apoi, după ce am făcut-o, mi-a permis să fur numere doar prin completarea informațiilor LOA cu informații false”, a declarat angajatul Okey pentru Cox. „LOA” este „o scrisoare de autorizare, un document care spune că semnatarul are Autoritatea de a schimba numerele de telefon”, a scris Cox.
„la câteva minute după ce au introdus numărul meu T-Mobile în Sakari, au început să primească mesaje text care erau destinate pentru mine”, a scris Cox. „Nu am primit nicio notificare de apel sau text de la Sakari care să solicite confirmarea faptului că numărul meu va fi utilizat de serviciul lor. Pur și simplu am încetat să primesc mesaje.”
după ce a obținut acces la mesajele lui Cox, „hackerul a trimis cereri de conectare la Bumble, WhatsApp, și Postmates, și ușor de accesat conturile,” articolul a spus.
„în ceea ce privește modul în care Sakari are această capacitate de a transfera numere de telefon, Nohl de la Security Research Labs a spus:” nu există un protocol global standardizat pentru redirecționarea mesajelor text către terți, astfel încât aceste atacuri s-ar baza pe acorduri individuale cu Telco-uri sau hub-uri SMS”, a scris Cox.
în timp ce Cox este un utilizator T-Mobile, hackerul i-a spus că „transportatorul nu contează… Este practic Vestul Sălbatic.”
CTIA: transportatorii iau acum „măsuri de precauție”
Okey oferă un instrument pentru monitorizarea modificărilor rău intenționate ale serviciului mobil al unui utilizator. „Înscrieți-vă pentru versiunea beta gratuită și vom monitoriza comunicațiile în afara benzii, cum ar fi rutele și setările operatorului. Dacă are loc un eveniment rău intenționat, vă vom alerta prin forme alternative de comunicare de încredere”, spune compania.
transportatorii înșiși ar putea opri acest tip de atac în viitor. T-Mobile, Verizon și AT & t au trimis Cox la CTIA, Asociația comercială care reprezintă operatorii de telefonie mobilă de top. CTIA i-a spus lui Cox:
după ce am fost informați despre această potențială amenințare, am lucrat imediat pentru a o investiga și am luat măsuri de precauție. De atunci, niciun transportator nu a reușit să-l reproducă. Nu avem nicio indicație a vreunei activități rău intenționate care implică amenințarea potențială sau că vreun client a fost afectat. Confidențialitatea și siguranța consumatorilor reprezintă prioritatea noastră principală și vom continua să investigăm această problemă.
această declarație nu spune exact ce măsuri de precauție au luat transportatorii pentru a preveni atacul. Am contactat astăzi T-Mobile și CTIA și vom actualiza acest articol dacă vom obține mai multe informații.
Sakari a îmbunătățit, de asemenea, aparent securitatea. Co-fondatorul Sakari, Adam Horsman, a declarat pentru Cox că Sakari, de când a fost informat despre atac, „a actualizat procesul nostru de mesagerie găzduită pentru a prinde acest lucru în viitor” și „a adăugat o caracteristică de securitate în care un număr va primi un apel automat care cere utilizatorului să trimită un cod de securitate înapoi companiei, pentru a confirma că au consimțământul de a transfera acel număr.”
am contactat Sakari astăzi despre securitatea și integrarea cu T-Mobile și va actualiza acest articol dacă vom obține un răspuns. În timp ce Sakari a fost implicat în acest caz, alte companii terțe pot avea, de asemenea, integrări cu transportatorii care deschid clienții transportatorilor la atacuri. Transportatorii înșiși trebuie să fie mai atenți să ofere furnizorilor terți posibilitatea de a redirecționa mesajele text.
actualizare la 2:48 PM EDT: Sakari a răspuns la Ars cu o declarație spunând: „Acum am închis această lacună a industriei la Sakari și alți furnizori de SMS-uri și transportatori ar trebui să facă același lucru. Când portați un număr de telefon mobil în SUA, cum ar fi un client care schimbă operatorii pentru apeluri vocale, operatorul pe care îl părăsiți autorizează plecarea numărului dvs. Nu există un astfel de standard industrial pentru transferul dreptului de proprietate asupra mesajelor pe numerele mobile. Sakari merge deja dincolo de standardele industriei de verificare pentru clienții noi și a urmat liniile directoare ale transportatorului nostru la scrisoare, dar în lumina acestei evoluții am adăugat acum un apel de verificare a telefonului la toate numerele noi cu text, astfel încât nimeni să nu poată folosi Sakari pentru a exploata din nou această lacună a industriei. SMS este un mediu de comunicare extrem de puternic și, pe măsură ce continuă să domine peisajul comunicării, am saluta îmbunătățirile necesare din industrie—atât transportatorii, cât și revânzătorii.”
povestea lui Cox nu este prima amintire despre nesiguranța mesajelor text. Atacurile de schimb SIM și defectele protocoalelor telefonice SS7 au făcut deja riscantă utilizarea mesajelor text pentru autentificare, dar multe site-uri web și alte servicii online se bazează încă pe texte pentru a verifica identitatea utilizatorilor. Clienții pot configura Pinuri de cont cu T-Mobile și alți operatori pentru a preveni accesul neautorizat la conturile lor celulare, dar nu este clar dacă acest lucru ar fi împiedicat tipul de atac care a redirecționat mesajele text ale lui Cox.