Sådan hacker du Facebook med blot et telefonnummer

jun 29, 2021
admin
facebook-phone-number-hack.jpg
Screenshot via ZDNet

Forskere har advaret om, at det er muligt at kompromittere Facebook-konti ved hjælp af blot et telefonnummer.

Et sikkerhedsteam fra Positive Technologies hævder, at hvis du kender telefonnummeret på dit tiltænkte offer, kan du bryde ind på deres tilknyttede Facebook-konto takket være sikkerhedsbrister i SS7-protokollen.

Som rapporteret af Forbes er der et segment af den centrale telekommunikationsinfrastruktur, som har været sårbar over for udnyttelse i det sidste halve årti.

SS7 er en protokol, der blev udviklet i 1975, og som bruges verden over til at definere, hvordan netværk i et offentligt koblet telefonnet (PSTN) udveksler oplysninger over et digitalt signalnet. Et netværk baseret på SS7 vil imidlertid som standard stole på meddelelser, der sendes over det – uanset hvor meddelelsen stammer fra.

Sikkerhedsfejlen ligger i netværket og i den måde, hvorpå SS7 håndterer disse anmodninger, snarere end i en fejl i Facebooks platform. Alt, hvad cyberangribere skal gøre, er at følge proceduren “Glemt konto?” via Facebooks hjemmeside, og når de bliver bedt om et telefonnummer eller en e-mail-adresse, skal de tilbyde det legitime telefonnummer.

Når Facebook har sendt en SMS-besked med den engangskode, der bruges til at få adgang til kontoen, kan SS7-sikkerhedsfejlen udnyttes til at omdirigere denne kode til angriberens egen mobilenhed og give ham adgang til offerets konto.

Positive Technologies har leveret en proof-of-concept (PoC) video, der demonstrerer angrebet, og som kan ses nedenfor:

Ofret skal have knyttet sit telefonnummer til målkontoen, men da sikkerhedsfejlen findes i telekommunikationsnetværket og ikke i onlinedomæner, vil dette angreb også virke mod enhver webtjeneste, der bruger den samme procedure til genoprettelse af kontoen – såsom Gmail og Twitter.

To-trinsbekræftelse bliver mere og mere afgørende, men indtil sårbarhederne i telekommunikationstjenesterne er rettet, er det måske bedst at bruge metoder til genoprettelse af e-mail – samt at bruge meget stærke, komplekse adgangskoder til alle de vigtigste “hub”-emailkonti, som du bruger til at vedligeholde andre onlinetjenester.

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.