Näin murtautua Facebookiin pelkällä puhelinnumerolla
Facebook-tilien vaarantaminen on mahdollista pelkällä puhelinnumerolla, varoittavat tutkijat.
Positive Technologies -yrityksen tietoturvaryhmä väittää, että jos tietää aiotun uhrin puhelinnumeron, voi murtautua hänen linkitettyyn Facebook-tiliinsä SS7-protokollan tietoturva-aukkojen ansiosta.
Kuten Forbes raportoi, televiestinnän perusinfrastruktuurissa on segmentti, joka on jätetty haavoittuvaksi hyväksikäytölle viimeisen puolen vuosikymmenen ajan.
SS7 on vuonna 1975 kehitetty protokolla, jota käytetään maailmanlaajuisesti määrittelemään, miten yleisen kytkentäisen puhelinverkon (PSTN) verkot vaihtavat tietoja digitaalisen signalointiverkon kautta. SS7:ään perustuva verkko luottaa kuitenkin oletusarvoisesti sen kautta lähetettyihin viesteihin – riippumatta siitä, mistä viesti on peräisin.
Tietoturvaongelma on pikemminkin verkossa ja siinä, miten SS7 käsittelee nämä pyynnöt, eikä niinkään Facebookin alustan bugissa. Verkkohyökkääjien ei tarvitse tehdä muuta kuin seurata ”Unohditko tilin?” -menettelyä Facebookin kotisivun kautta, ja kun heiltä kysytään puhelinnumeroa tai sähköpostiosoitetta, he tarjoavat laillista puhelinnumeroa.
Kun Facebook on lähettänyt tekstiviestin, joka sisältää kertakäyttökoodin, jolla tilille pääsee käsiksi, SS7:n tietoturva-aukkoa voidaan käyttää hyväksi tämän koodin ohjaamiseksi hyökkääjän omaan mobiililaitteeseen, mikä antaa heille pääsyn uhrin tilille.
Positive Technologies toimitti hyökkäystä havainnollistavan proof-of-concept (PoC) -videon, joka on katsottavissa alla:
Uhrin on täytynyt yhdistää puhelinnumeronsa kohdetiliin, mutta koska tietoturva-aukko löytyy tietoliikenneverkosta eikä verkkotunnuksista, hyökkäys toimii myös mitä tahansa verkkopalvelua vastaan, joka käyttää samaa tilinpalautusmenetelmää — kuten Gmailia ja Twitteriä.
Kaksivaiheinen todentaminen on yhä tärkeämpää, mutta kunnes televiestintäpalveluiden haavoittuvuudet on korjattu, sähköpostin palautusmenetelmien käyttäminen voi olla paras tapa toimia — samoin kuin erittäin vahvojen, monimutkaisten salasanojen käyttäminen tärkeimmille ”keskitetyille” sähköpostitileille, joita käytät muiden verkkopalveluiden ylläpitämiseen.