$16 attack visar hur lätt bärare gör det att avlyssna textmeddelanden
i en ny artikel med titeln ”En Hacker fick alla mina texter för $16”, beskrev vice reporter Joseph Cox hur white-hat hacker—en anställd hos en säkerhetsleverantör—kunde omdirigera alla sina textmeddelanden och sedan bryta sig in i onlinekonton som är beroende av texter för autentisering.
detta var inte en Sim swap Bluff, där ”hackare lura eller muta telecom anställda att port ett mål telefonnummer till sin egen SIM-kort,” Cox skrev. ”Istället använde hackaren en tjänst av ett företag som heter Sakari, som hjälper företag att göra SMS-marknadsföring och massmeddelanden, för att omdirigera mina meddelanden till honom.”
denna metod lurade T-Mobile att omdirigera Cox textmeddelanden på ett sätt som kanske inte har varit uppenbart för en intet ont anande användare. ”Till skillnad från SIM jacking, där ett offer förlorar celltjänst helt, verkade min telefon normal”, skrev Cox. ”Förutom att jag aldrig fick de meddelanden som var avsedda för mig, men han gjorde det.”
hackaren, som går under mononymen” Lucky225″, är informationschef på Okey Systems, en säkerhetsleverantör. ”Jag använde ett förbetalt kort för att köpa $16 per månad plan och sedan efter det var gjort det låt mig stjäla siffror bara genom att fylla i LOA info med falsk info,” Okey anställd berättade Cox. ”LOA ” är” ett godkännandebrev, ett dokument som säger att undertecknaren har befogenhet att byta telefonnummer”, skrev Cox.
”några minuter efter att de skrev in mitt T-Mobile-nummer i Sakari började de ta emot textmeddelanden som var avsedda för mig”, skrev Cox. ”Jag fick inget samtal eller textmeddelande från Sakari som bad om att bekräfta att mitt nummer skulle användas av deras tjänst. Jag slutade helt enkelt få texter.”
efter att ha fått tillgång till Cox meddelanden, ”hacker skickade inloggningsförfrågningar till Bumble, WhatsApp, och Postmates, och lätt åt konton,” artikeln sade.
”när det gäller hur Sakari har denna förmåga att överföra telefonnummer, sa Nohl från Security Research Labs,” det finns inget standardiserat globalt protokoll för vidarebefordran av textmeddelanden till tredje part, så dessa attacker skulle förlita sig på enskilda avtal med telcos eller SMS-nav”, skrev Cox.
medan Cox är en T-Mobile-användare, sa hackaren till honom att ”bäraren spelar ingen roll… Det är i grunden vilda västern.”
CTIA: bärare tar nu ”försiktighetsåtgärder”
Okey erbjuder ett verktyg för att övervaka skadliga ändringar i en användares mobiltjänst. ”Registrera dig för vår gratis beta så övervakar vi kommunikation utanför bandet som dina rutter och operatörsinställningar. Om en skadlig händelse äger rum kommer vi att varna dig genom alternativa former av pålitlig kommunikation,” säger företaget.
bärarna själva kanske kan stoppa denna typ av attack i framtiden. T-Mobile, Verizon och AT&t hänvisade Cox till CTIA, branschorganisationen som representerar de bästa mobiloperatörerna. CTIA berättade Cox:
efter att ha blivit medveten om detta potentiella hot arbetade vi omedelbart för att undersöka det och vidtog försiktighetsåtgärder. Sedan dess har ingen bärare kunnat replikera den. Vi har ingen indikation på någon skadlig aktivitet som involverar det potentiella hotet eller att några kunder påverkades. Konsumenternas integritet och säkerhet är vår högsta prioritet, och vi kommer att fortsätta att undersöka denna fråga.
det uttalandet säger inte exakt vilka försiktighetsåtgärder bärarna har vidtagit för att förhindra attacken. Vi kontaktade T-Mobile och CTIA idag och kommer att uppdatera den här artikeln om vi får mer information.
Sakari har också uppenbarligen uppgraderat säkerheten. Sakari grundare Adam Horsman berättade Cox att Sakari har, sedan görs medveten om attacken, ”uppdaterat vår värd meddelandeprocess för att fånga detta i framtiden” och ”lagt till en säkerhetsfunktion där ett nummer kommer att få ett automatiserat samtal som kräver att användaren skickar en säkerhetskod tillbaka till företaget, att bekräfta att de har samtycke att överföra det numret.”
vi kontaktade Sakari idag om dess säkerhet och integration med T-Mobile och kommer att uppdatera den här artikeln om vi får svar. Medan Sakari var inblandad i detta fall kan andra tredjepartsföretag också ha integrationer med transportörer som öppnar transportörernas kunder för attacker. Transportörerna själva måste vara mer försiktiga med att ge tredjepartsleverantörer möjlighet att omdirigera textmeddelanden.
Uppdatering vid 2:48 PM EDT: Sakari svarade på Ars med ett uttalande som säger: ”Vi har nu stängt detta branschhål hos Sakari och andra SMS-leverantörer och operatörer bör göra detsamma. När du port ett mobilnummer i USA, som en kund byta bärare för röstsamtal, operatören du lämnar godkänner ditt nummer avgång. Det finns ingen sådan branschstandard för överföring av äganderätt till meddelanden på mobilnummer. Sakari går redan utöver branschstandarder för verifiering för nya kunder och följde vår operatörs riktlinjer till punkt och pricka, men mot bakgrund av denna utveckling har vi nu lagt till ett telefonverifieringssamtal till alla nya textaktiverade nummer så att ingen kan använda Sakari för att utnyttja denna bransch kryphål igen. SMS är ett enormt kraftfullt kommunikationsmedium, och eftersom det fortsätter att dominera kommunikationslandskapet, skulle vi välkomna förbättringar som behövs från branschen—både operatörer och återförsäljare.”
Cox berättelse är inte den första påminnelsen om osäkerheten i textmeddelanden. SIM-swapping-attacker och brister i SS7-telefonprotokollen gjorde det redan riskabelt att använda textmeddelanden för autentisering, men många webbplatser och andra onlinetjänster är fortfarande beroende av texter för att verifiera användarnas identiteter. Kunder kan ställa in konto-PINs med T-Mobile och andra operatörer för att förhindra obehörig åtkomst till sina mobilkonton, men det är inte klart om det skulle ha förhindrat den typ av attack som omdirigerade Cox textmeddelanden.