SMS短信已经是最薄弱的链接确保了在线的任何内容,主要是由于移动商店的数千名员工可以被欺骗或贿赂到其他人的移动电话号码。现在我们正在了解任何人都可以使用默默地拦截用于其他移动用户的短信的公司的整个生态系统。
安全研究员“Lucky225”与vice.com的Joseph Cox合作,互通Cox的传入短信。 Lucky225展示了如何在一个名为Sakari的服务的账户中创建一个有助于名人和企业营销和大规模消息传递的服务的账户。
“他们是如何做到的”令人作呕。它只需16美元,珍贵的很少,以防止某人窃取您的短信而不知道您的知识。 COX写道:
Sakari为任何希望看到公司的仪表板看起来的东西提供免费试用版。最便宜的计划,允许客户添加他们想要发送和接收文本的电话号码,是16美元的位置。 Lucky225提供了Sakari界面截图的主板,它显示了一个红色的“+”符号,用户可以添加一个数字。
在添加数字时,Sakari提供了用户签名的授权信。 Sakari的Loa表示,用户不应与文本消息服务和电话号码进行任何非法,骚扰或不当行为。
但随着Lucky225所显示的,用户可以与其他人的号码注册并收到他们的短信。
幸运的是,萨卡里的安全性是因为采取了措施阻止其与移动电话号码一起使用的服务。但他说Sakari只是一个更大,不受管制的行业的一部分,可用于劫持许多电话号码的短信。
“这不是一个萨卡里的事情,”Lucky225在第一次接近更多详情时回复。 “这是一个行业宽的东西。有许多这些'短信支持'提供商。“
最常见的方式窃贼劫持SMS消息这些天涉及“SIM交换”犯罪,涉及在无线电话公司贿赂或欺骗员工在修改客户账户信息中。
在SIM SWAP中,攻击者将目标的电话号码重定向到他们控制的设备,然后可以拦截目标的传入短信和电话呼叫。从那里,攻击者可以重置任何帐户的密码,该帐户使用该电话号码进行密码重置链接。
但攻击Lucky225一直在展示,仅需要任何公司的客户来签署宣誓的“授权书”或LOA,说明他们确实有权代表目标号码的所有者行事。
Allison Nixon是一家以纽约市为基础的网络调查公司Ions221B的首席研究官。尼克森表示,Sim-Swapping攻击专家们被引用了很多关于这篇博客,尼克森表示她也有幸运的是在她的手机上测试他的拦截技巧,只能观看她的传入短信在他的燃烧器上显示出来的燃烧器。
“这基本上意味着站在任何人之间的唯一事情和相当于SIM交换的是伪造的LOA,”尼克森说。 “并”修复“似乎本质上暂时。”
他说,截取方法仍然描述的Lucky225仍然危险地暴露了全球SMS网络中的许多系统缺点。
大多数大型和遗留电信提供商通过咨询NPAC或数字可移植性管理中心验证与客户相关的转移请求。当客户想要移动他们的电话号码时 - 移动或其他方式 - 该请求通过NPAC路由到客户的运营商。
该更改请求携带所谓的ALT-SPID,这是一个四位数字,使NPAC能够识别目前为客户提供服务的电信公司。更重要的是,作为此过程的一部分,除非客户的运营商已验证了现有客户的变化,否则不会发生变化。
但是Lucky225表示,他一直在测试的SMS拦截的课程目标是一系列认证弱点,它与NetNumber是罗贝尔,洛厄尔群众的私营公司开发的系统。NetNumber开发了它自己的专有系统,用于绘制Sakari和Sakari使用的电信提供者自己的专有系统整个行业的类似公司。
NetNumber开发了其六位数的ALT SPID(NetNumber ID),以更好地组织和跟踪所有使用其他编号系统(以及数字数)的通信服务提供商。但NetNumber还直接与数十种无论是基于IP或基于互联网的电话公司一起工作,这些手机公司不受适用于遗留电信提供商的相同监管规则。
“有许多VoIP提供商提供”关闭“文本启用”,“Lucky225解释说。 “私有化的公司承诺让您的文本启用现有的商业电话号码,以便客户可以发短信,无论是VoIP,无线电话还是固定电话号码。”
随着Lucky225在他的综合中式文章中写道,有一位批发VoIP提供商,让您成为一个很少没有验证的经销商,其中许多人允许毯式授权(LOAS),你是经销商承诺对于您想要为经销商或最终用户的传销商或最终用户提供的任何数字的LOA。
“实质上,一旦您拥有这些VoIP批发商的经销商帐户,您可以将任何电话号码的净编号ID更改为批发提供商的NNID,并开始接收短信短信,几乎没有任何身份验证。不需要SIM SWAP,SS7攻击或PORT OUT - 只需在文本框中键入目标的电话号码,并在几分钟内点击提交,即可为其开始接收SMS短信。他们甚至不会被警告发生任何事情发生的声音和amp;数据服务将继续像往常一样工作。令人惊讶的是,尽管我在2018年公开披露这一事实,但没有任何东西可以停止这种相对不成熟的攻击。“
NetNumber拒绝评论纪录,而是提到了代表无线行业的贸易协会的CTIA的声明,这是:
“在意识到这种潜在的威胁后,我们立即努力调查它,并采取预防措施。从那时起,没有载体已经能够复制它。我们没有指示任何涉及潜在威胁的恶意活动或任何客户受到影响的恶意活动。消费者隐私和安全是我们的首要任务,我们将继续调查此事。“
Lucky225告诉Kresonsecurity许多主要的移动公司已经搬迁,以确保他们的客户无法受到NetNumber或其合作伙伴所要求的变化的影响。但他怀疑一些较小的有线和无线电信公司可能仍然脆弱。
“我很确定现在只是他们现在保护的大运营商,”他说。 “但是,我们不知道他们修补的是什么,因为每个人都是如此紧张地贬低了这一点。”
尼克松表示,联邦监管机构加强和保护消费者的时候了。
“它明确这是许多基础设施难以愚蠢的粪便,在这里需要发生一些根本的变化,”她说。 “监管机构真的需要参与其中。”
鉴于欺诈者滥用这种和其他弱点的潜在广泛的影响,以完全颠覆基于短信的通信和多因素身份验证的安全性,这可能是重新思考与您的电话号码的关系是一个好主意。它现在明显,它是如何信任任何事情的愚蠢。
我的建议长期以来一直删除在线账户中的电话号码,无论何处,都可以避免选择SMS或电话给第二因子或一次性代码。电话号码从未被设计为身份文件,但这有效地是他们成为的东西。是时候我们停止让每个人都这样对待他们了。
任何在线帐户,您的价值应使用唯一和强密码保护,以及可用的多因素身份验证的最强大形式。通常,这是一个类似的移动应用程序,如Authy或Google身份验证程序,可以生成一次性代码。像Twitter和Facebook这样的一些网站现在支持更强大的选项 - 例如物理安全密钥。
删除您的电话号码对于您可能拥有的任何电子邮件帐户也可能更为重要。在线使用任何服务,几乎肯定需要您提供电子邮件地址。在几乎所有情况下,通过控制该地址的人可以通过请求密码重置电子邮件来重置任何相关服务或帐户的密码。
不幸的是,许多电子邮件提供商仍然让用户通过将通过文本发送到帐户的文件上的电话号码来重置他们的帐户密码。因此,将电话号码删除为电子邮件帐户的备份,并确保为所有可用的帐户恢复选项选择更强大的第二个因素。
以下是:大多数在线服务都要求用户在设置帐户时提供手机号码,但在建立之后不需要该号码保持与帐户相关联。我建议读者在尽可能使用账户中从帐户中删除他们的电话号码,并利用移动应用程序来为多因素身份验证生成任何一次性代码。