Η επαλήθευση δύο παραγόντων (2 factor authentication) που βασίζονται σε SMS έχει συζητηθεί πολύ. Παρά τις αδυναμίες του συστήματος σηματοδοσίας αριθ. 7 (SS7), το οποίο είναι ένα πρωτόκολλο τηλεπικοινωνιών για τη δρομολόγηση κειμένων και κλήσεων που χρησιμοποιείται διεθνώς, το σύστημα εξακολουθεί να χρησιμοποιείται ευρέως σε τραπεζικές και άλλες υπηρεσίες.
Οι ερευνητές ασφαλείας της Positive Technologies έχουν δείξει πώς μπορούν να χακάρουν ένα πορτοφόλι Bitcoin χρησιμοποιώντας τα τρωτά σημεία του SS7. Παίρνοντας τον έλεγχο του SS7 δικτύου, οι χάκερ είχαν τη δυνατότητα να επαναφέρουν τους κωδικούς πρόσβασης του Gmail, χρησιμοποιώντας τον έλεγχο ταυτότητας δύο παραγόντων.
Ένα μεγάλο ελάττωμα στο 2FA που βασίζεται σε SMS είναι ότι ο κωδικός πρόσβασης μιας χρήσης μπορεί να προσεγγιστεί σε μια ποικιλία συσκευών και υπηρεσιών, οι οποίες μπορεί να έχουν επίσης τις δικές τους ατέλειες. Έτσι, η επιφάνεια επίθεσης αυξάνεται.
Οι ερευνητές δημοσιοποίησαν ένα βίντεο, το οποίο δείχνει πόσο εύκολη είναι η πραγματοποίηση μιας επίθεσης με σκοπό την κλοπή Bitcoin. Παρεμποδίζοντας τα μηνύματα κειμένου κατά τη μεταφορά, οι χάκερ μπορούν να πάρουν τον έλεγχο του λογαριασμού σας στο Gmail και κάθε άλλης υπηρεσίας που σχετίζεται με αυτό.
Αυτό το ελάττωμα θέτει σε κίνδυνο τόσο τους τραπεζικούς όσο και τους κοινωνικούς σας λογαριασμούς. Η πρόσβαση στο δίκτυο SS7 είναι το μεγαλύτερο εμπόδιο που πρέπει να ξεπεράσετε. Οι διαδικτυακοί εγκληματίες μπορούν να αγοράσουν την πρόσβαση σε αυτό από το dark web. Στο παρελθόν, τουλάχιστον σε μία περίπτωση, το SS7 χρησιμοποιήθηκε για να αδειάσει τραπεζικούς λογαριασμούς. Σύμφωνα με το Forbes, πολλές εταιρείες επιτήρησης πωλούν επίσης υπηρεσίες για να κατασκοπεύουν χρησιμοποιώντας σφάλμα SS7.
Τι πρέπει να κάνει ο χρήστης;
Όπως υπογραμμίστηκε νωρίτερα, το σφάλμα SS7 είναι γνωστό στον κλάδο των τηλεπικοινωνιών από πολύ καιρό. Έτσι, αν δεν παρθούν μέτρα για να το κάνουν πιο ασφαλές, οι χρήστες θα πρέπει να το αναλάβουν μόνοι τους. Μπορείτε να χρησιμοποιήσετε εργαλεία όπως το Google Authenticator, το Google prompt ή κλειδί ασφαλείας για επιπλέον ασφάλεια.
