Jak se nabourat do Facebooku jen pomocí telefonního čísla
Vědci varovali, že je možné kompromitovat účty na Facebooku jen pomocí telefonního čísla.
Bezpečnostní tým ze společnosti Positive Technologies tvrdí, že pokud znáte telefonní číslo zamýšlené oběti, můžete se díky bezpečnostním chybám v protokolu SS7 nabourat do jejího propojeného účtu na Facebooku.
Jak uvádí časopis Forbes, existuje segment základní telekomunikační infrastruktury, který je již půl desetiletí zranitelný vůči zneužití.
SS7 je protokol vyvinutý v roce 1975, který se celosvětově používá k definování způsobu, jakým si sítě ve veřejné komutované telefonní síti (PSTN) vyměňují informace prostřednictvím digitální signalizační sítě. Síť založená na protokolu SS7 však ve výchozím nastavení důvěřuje zprávám, které jsou přes něj odesílány – bez ohledu na to, odkud zpráva pochází.
Bezpečnostní chyba spočívá spíše v síti a v tom, jak SS7 tyto požadavky zpracovává, než v chybě platformy Facebook. Jediné, co musí kybernetičtí útočníci udělat, je provést postup „Zapomněli jste účet?“ prostřednictvím domovské stránky Facebooku, a když jsou požádáni o telefonní číslo nebo e-mailovou adresu, nabídnout legitimní telefonní číslo.
Jakmile Facebook odešle spolu se zprávou SMS obsahující jednorázový kód sloužící k přístupu k účtu, lze pak bezpečnostní chybu SS7 zneužít k přesměrování tohoto kódu do vlastního mobilního zařízení útočníka, což mu umožní přístup k účtu oběti.
Společnost Positive Technologies poskytla video proof-of-concept (PoC) demonstrující tento útok, které si můžete prohlédnout níže:
Oběť musí mít propojené své telefonní číslo s cílovým účtem, ale protože se bezpečnostní chyba nachází v telekomunikační síti, a ne v online doménách, bude tento útok fungovat i proti jakékoli webové službě, která používá stejný postup obnovení účtu – například Gmail a Twitter.
Dvoufázové ověřování je stále důležitější, ale dokud nebudou zranitelnosti v telekomunikačních službách opraveny, může být nejlepším řešením používání metod obnovy e-mailu — stejně jako používání velmi silných a složitých hesel pro všechny hlavní „ústřední“ e-mailové účty, které používáte k obsluze dalších online služeb.