adblock check

Хакеры доказали уязвимость двухфакторной аутентификации через SMS

С помощью сторонних сервисов можно запросто перенаправить все входящие сообщения на другое устройство

Смартфон практически всегда находится рядом со своим владельцем, поэтому код для подтверждения личности, отправленный на зарегистрированный номер телефона посредством SMS-сообщения, считается надёжным способом двухфакторной аутентификации. Однако специалисты в области безопасности знают, что этот метод проверки не лишён недостатков. Уже привычными явлениями стали угон SIM-карты, атаки SS7 и другие методы взлома. Недавнее исследование показало, что аналогичные атаки можно осуществлять с помощью готовых маркетинговых инструментов, при этом жертва даже ничего не поймёт.

Журналист издания Vice Джозеф Кокс (Joseph Cox) нанял хакера с ником Lucky225, чтобы тот получил доступ к его номеру телефона. Хакеру потребовалось совсем немного времени, чтобы авторизоваться в социальных сетях Кокса, в WhatsApp, Postmates и Bumble, используя обычный метод двухфакторной аутентификации с помощью SMS-сообщений. Но в отличие от обычной атаки с подменой SIM-карты, он сумел перенаправить все входящие сообщения журналиста на другой аппарат, пока тот, ни о чём не подозревая, продолжал использовать свой смартфон.

Lucky225 использовал сервис под названием Sakari, который позволяет пересылать текстовые сообщения на другое устройство, причём вполне законно. Такая система обычно применяется для продвижения продаж и услуг. Хакер оформил месячную подписку стоимостью 16 долларов и заполнил форму LOA (Letter of Authorization), где указал, что является владельцем номера телефона Кокса. Это всё, что потребовалось для перенаправления всех входящих сообщений на своё устройство.

Хакеры доказали уязвимость двухфакторной аутентификации через SMS

Sakari — лишь одна из множества компаний, предлагающих аналогичные услуги, и все они работают в рамках законов. Lucky225 опубликовал собственную статью на Medium, где подробно описал технические аспекты этой атаки и призвали пользователей не полагаться на SMS для двухфакторной аутентификации. Помимо SMS, лучше использовать мобильное приложение или физический ключ безопасности.

Svidetel
Автор
2 комментария по лайкам по дате
Оставьте комментарий...
Оставьте комментарий...
зарегистрировать чужой телефон как свой и перенаправить? Если это возможно сделать так легко, то давно уже создатели сервиса сидели бы в тюрьме США. Там кража личных данных очень даже хорошо преследуется. Так что бред какой-то написали, ИМХО. Хотя конечно утверждать на 100% не буду. У них много странных законов.
Тоесть это уязвимость на уровне ОпСоСа? Не понимаю как оно может перенаправлять смс без его согласия