Forskare har varnat för att det är möjligt att äventyra Facebook-konton genom att använda lite mer än ett telefonnummer.

Ett säkerhetsteam från Positive Technologies hävdar att om du känner till telefonnumret till ditt tilltänkta offer, kan du bryta dig in i deras länkade Facebook-konto tack vare säkerhetsbrister i SS7-protokollet.

Enligt Forbes finns det ett segment av den centrala telekommunikationsinfrastrukturen som har lämnats sårbart för exploatering under det senaste halva decenniet.

SS7 är ett protokoll som utvecklades 1975 och som används över hela världen för att definiera hur nätverken i ett offentligt kopplat telefonnät (PSTN) utbyter information över ett digitalt signalnät. Ett nätverk som är baserat på SS7 kommer dock som standard att lita på meddelanden som skickas över det – oavsett var meddelandet kommer ifrån.

Säkerhetsbristen ligger i nätverket och hur SS7 hanterar dessa förfrågningar, snarare än ett fel i Facebooks plattform. Allt cyberattackerare behöver göra är att följa proceduren ”Glömt konto?” via Facebooks hemsida, och när de ombeds ange ett telefonnummer eller en e-postadress, erbjuda det legitima telefonnumret.

När Facebook väl har skickat ett sms-meddelande som innehåller den engångskod som används för att få tillgång till kontot, kan SS7-säkerhetsbristen sedan utnyttjas för att avleda koden till angriparens egen mobila enhet, vilket ger dem tillgång till offrets konto.

Positive Technologies tillhandahöll en proof-of-concept (PoC)-video som visar attacken och som kan ses nedan:

Offerten måste ha kopplat sitt telefonnummer till målkontot, men eftersom säkerhetsbristen finns i telenätet och inte i onlinedomäner, kommer denna attack också att fungera mot alla webbtjänster som använder sig av samma förfarande för återställning av konton – till exempel Gmail och Twitter.

Tvåstegsverifiering blir allt viktigare, men tills sårbarheterna i telekomtjänsterna är åtgärdade kan det bästa sättet vara att använda metoder för att återskapa e-postmeddelanden – liksom att använda mycket starka, komplexa lösenord för de huvudsakliga e-postkonton som du använder för att upprätthålla andra onlinetjänster.