Bili smo godinama upozoravani na nedostatke u okosnici mobilnih podataka. Sada je propala i autentifikacija sa dva faktora (2FA). Finansijski motivisani hakeri koriste SS7 napade da se probiju u bankovne račune. Na kraju se i to desilo.
Godinama istraživači, hakeri, pa čak i neki političari upozoravaju na velike slabosti u mobilnoj mreži za prenos podataka koja se zove SS7. Ovi nedostaci omogućavaju napadačima da slušaju pozive, presreću tekstualne poruke, i određuju lokaciju uređaja, a za to im je dovoljan samo broj telefona njihove mete. Korišćenje ovih mogućnosti je tipično bilo rezervisano za državne institucije i za nadzor.
Ali u sredu je nemački list Süddeutsche Zeitung izvestio da su finansijski-motivisani hakeri iskoristili te nedostatke za pražnjenje tuđih bankovnih računa. To nije samo jedan niz bankovnih računa: to potvrđuje činjenicu da mreža SS7 predstavlja pretnju za sve nas, za javnost. I to pokazuje da kompanije i usluge širom sveta hitno moraju da ukinu autentifikaciju preko SMS-a u zaštiti računa svojih klijenata.
„Ne iznenađuje me da hakeri uzmu novac koji ‘leži na stolu’. Čudi me da je onlajn bankarskim lopovima trebalo toliko dugo da se u zloupotrebljavanju globalne SS7 mreže pridruže špijunskim preduzimačima „, rekao je Motherboardu u jednom e-mailu Karsten Nohl, istraživač kiberbezbednosti koji je istakao ranjivosti u SS7 mreži.
Ukratko, problem sa SS7 jeste da mreža veruje sve što joj kažete. SS7 se posebno koristi za roming podataka: kada korisnik telefona izađe izvan domena pokrivenosti svog vlastitog provajdera, poruke i dalje treba da se usmeravaju na njega. Ali svako sa SS7 pristupom, koji se može kupiti za oko 1000 evra po Süddeutsche Zeitungu, može da pošalje zahtev za preusmeravanje, a mreža ne može da otkrije odakle poruka dolazi. To omogućava napadaču da usmeri tekstualne poruke žrtve na drugi uređaj i, u slučaju bankovnih računa, da ukrade sve kodove potrebne da se uloguje ili odobri transfer novca (pošto haker dođe do lozinki žrtve).
Nijedna od tih ranjivosti nije nova. Kao što je pomenuto, Nohl je ranije prikazao ove probleme, između ostalog i na festivalu hakovanja Chaos Communication Congress 2014. Prošle godine, Nohl je pomoću SS7 napada slušao telefonske razgovore člana predstavničkog doma Teda Lieua (demokrate iz Kalifornije) (uz njegovu saglasnost). I nedavno, senator Ron Viden (demokrata iz Oregona) i Lieu su istakli te ranjivosti, pa je Federalna komisija za komunikacije (FFC) objavila izveštaj o ovom problemu.
Iako su neki Telekomi preduzeli korake za ublažavanje ovog problema, jasno je da i dalje postoje veliki propusti koje hakeri koriste. „Svi računi koji su zaštićeni tekstualnom autentifikacijom sa dva faktora, kao što su bankovni računi, su potencijalno u opasnosti dok FCC i telekomunikaciona industrija ne poprave razarajući bezbednosni propust u mreži SS7 „, rekao Lieu u saopštenju objavljenom u sredu. „Pozivam Kongres koji je pod Republikanskom kontrolom da održi hitne rasprave o tom pitanju.“
U međuvremenu, i možda bez obzira na to da li će SS7 problemi ikada da se reše, kompanije društvenih mreža, banaka i drugih onlajn usluga treba da prestanu da koriste autentifikaciju sa dva faktora pomoću SMS-a. Prošle godine je Nacionalni institut za standarde i tehnologiju izjavio da više ne preporučuje rešenja koja koriste SMS.
Twitter dozvoljava korisnicima prijavljivanje sa kodom koji daje Google Authenticator, aplikacija u smartfonu koja pruža jedan robustniji vid autentifikacije sa dva faktora, ali sajt očigledno i dalje onima koji se prijavljuju šalje jedan SMS kod, što, s obzirom na ove nedavne SS7 napade, u potpunosti poništava dodatnu bezbednosnu zaštitu. Twitter nije odmah odgovorio na zahtev za komentar.
Motherboard je čak nedavno objavio tekst koji je uveravao čitaoce da su verovatno dobro zaštićeni ako koriste samo autentifikaciju sa dva faktora preko SMS-a, a tekst se fokusirao na jednu drugu vrstu napada i zasnivao se na pretpostavci da hakeri mnogo ne koriste SS7. Taj tekst je, jasno, zastareo.
„Neprihvatljivo je da FCC i telekomunikaciona industrija nisu ništa ranije uradili kako bi zaštitili našu privatnost i finansijsku sigurnost“, dodao je Lieu u saopštenju.
Izvor: Motherboard