Мемуары о будущем

Дмитрий Беляев

Facebook, WhatsApp, Viber, Telegram и другие соцсети и мессенджеры можно взломать по номеру телефона

Опубликовано: 12 августа 2016 года






Благодаря уязвимости в технологии сорокалетней давности хакеры могут взламывать социальные сети и прослушивать все звонки, зная лишь номер телефона жертвы.

Исследователям удалось получить доступ к аккаунтам Telegram, WhatsApp и Facebook, зная лишь номер мобильного телефона, который привязан к аккаунту.

В теории этот метод применим для любых других соцсетей и мессенджеров, которые отправляют сообщения для восстановления пароля. Среди них Viber, «ВКонтакте», Twitter, Google и многие другие сервисы.

Уязвимость в протоколе системы Signalling System No.7 (SS7 или ОКС-7), разработанной в 1975 году, позволяет перенаправлять SMS-сообщения, которые соцсети отправляют для восстановления пароля, по другим адресам.

Таким образом, зная номер жертвы, можно без труда инициировать процедуру восстановления доступа к аккаунту, после чего перехватить сообщение и установить свой собственный пароль.

В своем блоге специалисты Positive Technologies подробно рассказали о том, как происходил взлом в Telegram и WhatsApp на тестовом полигоне. Используя уязвимость в технологии сорокалетней давности, исследователи получили доступ не только к аккаунту жертвы в Telegram, но и получили всю переписку, так как сервис сам «любезно» подгружает ее.

В случае с WhatsApp получить историю сообщений не удалось, но сервис хранит бэкапы переписки на Google Drive. Соответственно, если взломать аккаунт Google с использованием этого же метода, то и это не составит больших проблем.

Время меняется, а SS7 — нет

Система SS7 имеет большое количество недостатков в плане защищенности. Так, в системе отсутствуют всякое шифрование и проверка подлинности служебных сообщений. То есть система считает все сообщения подлинными и даже не пытается в этом усомниться.

Ранее, когда только система начинала свое существование, это не являлось проблемой, так как сеть SS7 была замкнутой и в ней работали только фиксированные операторы.

Сейчас практически любой человек может получить операторскую лицензию на черном рынке или в той стране, где эта процедура наиболее простая. Также есть и другие способы получить SS7-шлюз, что в очередной раз говорит об уязвимости системы, используемой для настройки большинства телефонных станций по всему миру.

Наиболее важно то, что злоумышленнику не надо находиться рядом с абонентом, как в случае с поддельной базовой станцией, поэтому вычислить его практически невозможно.

В целом примеров того, что может сделать злоумышленник благодаря уязвимостям сети, масса, начиная от прослушки звонков и чтения SMS-переписки, что было прерогативой спецслужб, и заканчивая взломом соцсетей.

Согласно данным Positive Technology, входящие SMS-сообщения удавалось перехватить девять из десяти раз (89%).

Несанкционированный запрос баланса также был возможен почти повсеместно (92% атак), а голосовые вызовы удавалось перехватить в половине случаев. Кроме этого, исследователям удавалось определить местоположение жертвы также в половине случаев.

Согласно этим данным, у злоумышленников есть огромный простор для возможностей. Примерами мошеннических действий в сети SS7 могут служить перенаправление вызовов, перевод денежных средств со счета абонента, изменение профиля абонента.

В 94% случаев исследователям удавалось перенаправлять входящий вызов, а исходящий — в 45%. Перевести деньги со счета получалось в 64% случаев.

Отмечается, что главной проблемой SS7 является то, что отсутствует проверка реального местоположения абонента.

Среди других причин также то, что в сети нет возможности проверить принадлежность абонента сети и отсутствие фильтрации неиспользуемых сигнальных сообщений. Все это говорит о том, что система нуждается в серьезной доработке, так как сейчас под угрозой находится огромное количество людей, которые даже не могут подозревать, что их прослушивают.

Как себя обезопасить

Для того чтобы немного себя обезопасить, в первую очередь не стоит «светить» своим номером телефона. Хакерам достаточно только этой информации, чтобы получить полный доступ не только к звонкам, переписке и средствам на счете, но также и к соцсетям.

Также можно приобрести вторую сим-карту, номер которой регистрировать в социальных сетях. Опять же, это в меньшей степени обезопасит аккаунты, но позволит избежать прослушки, если основной номер будет в секрете.

Операторы сотовой связи, включая Vodafone и Telefonica, стремятся закрыть уязвимости в протоколе. По словам эксперта по безопасности Карстена Ноля (Karsten Nohl), который оказывает помощь операторам, предотвратить 90% случаев мошенничества можно с помощью обычного файрвола со специальными правилами.

Однако на данный момент пользователи остаются под угрозой, и даже двухэтапная авторизация оказалась не настолько эффективным методом защиты, ведь код для проверки отправляется именно на телефон.

Но в случае с Telegram, к примеру, проверочный код приходит прямо в тот аккаунт, который был активирован в последний раз.

Использование в качестве «второго рубежа» именно SMS-сообщений в некоторых случаях можно заменить другим способом: код может быть отправлен по почте, в виде голосового сообщения или же вообще с использованием отдельного устройства, считывающего биометрические данные — голос, сетчатку глаза, отпечаток пальца.

В остальных же случаях о 100%-ной защите речи пока не идет.

P.S.

Двойная защита от утечек

Кража личной переписки и «угон» аккаунтов происходят все чаще. Как усложнить задачу злоумышленникам, дополнительно обезопасив свой аккаунт, и доступ к каким данным могут получить спецслужбы?

В связи с недавними взломами Telegram-аккаунтов оппозиционных активистов Георгия Албурова и Олега Козловского пользователи вновь заговорили о способах защиты личных данных от нежелательного вторжения.

Позднее оказалось, что доступ к аккаунтам оппозиционеров был перехвачен с одного и того же нью-йоркского IP-адреса. Создатель мессенджера и бывший глава соцсети «ВКонтакте» Павел Дуров предположил, что к взлому аккаунтов Албурова и Козловского могут быть причастны российские спецслужбы. К такому выводу он пришел из-за того, что взлом, который произошел ночью, по каким-то причинам не сопровождался SMS-сообщением от мобильного оператора МТС, в котором должен был прийти код подтверждения.

В пресс-службе МТС опровергли причастность к целенаправленному отключению сервисов и предположили, что одной из причин взлома могла быть вирусная атака или получение доступа к аккаунту через веб-интерфейс.

Пострадавшие организовали масштабную акцию, направленную против оператора. Как утверждают оппозиционеры, в счете за услуги оператора в апреле 2016 года указано, что кратковременные отключения услуг передачи и отправки сообщений, а также мобильного интернета все-таки проводились.

После взломов Дуров посоветовал пользоваться двухфакторной авторизацией, чтобы обезопасить свой аккаунт от возможности взлома.

Что такое двухфакторная авторизация и зачем она нужна

Все системы авторизации, с которыми сталкивается пользователь, представлены единственным этапом — либо ввести пароль, заданный во время регистрации, либо ввести сгенерированный код, который придет на телефон/почту. Двухфакторная аутентификация объединяет в себе эти два принципа: «что пользователь знает» и «что у пользователя есть».

Проще говоря, это двойная защита, для прохождения которой нужно не только знать пароль от аккаунта, но и иметь в распоряжении, например, привязанный к аккаунту телефон.

Использование в качестве «второго рубежа» именно SMS-сообщений является наиболее простым и распространенным способом, хотя код может быть отправлен по почте, в виде голосового сообщения или же вообще с использованием отдельного устройства, считывающего биометрические данные — голос, сетчатку глаза, отпечаток пальца.

Более того, SMS-сообщения с кодом могут выступать в качестве оповещения о попытке взлома аккаунта. Это послужит признаком того, что кто-то знает ваш пароль и его необходимо сменить.

В любом случае стоит понимать, что двухфакторная аутентификация не панацея от взлома аккаунта, но она очень усложнит жизнь злоумышленникам. На сегодняшний день это самая совершенная система защиты.

При этом, используя двойную защиту, можно не так сильно переживать за сохранность и сложность пароля, так как даже если его и удастся скомпрометировать, то пройти второй этап авторизации взломщику будет гораздо сложнее. Но пренебрегать безопасностью пароля все равно не стоит.

Однако вместе с повышением безопасности двухфакторная аутентификация порождает неудобства. При утрате телефона, смене номера и в другой стране с выключенным роумингом получить доступ к аккаунту будет сложно.

Вместе с этим сам способ передачи кода посредством SMS обладает низкой защитой. Для использования двухфакторной авторизации в большинстве случаев требуется вводить свой номер телефона, что сводит на нет все попытки сохранить анонимность, даже при использовании VPN и Tor.

Куда могут утечь личные данные

Использование номера телефона для авторизации в социальных сетях и других сервисах означает то, что в распоряжение этих самых сервисов попадает ваша личная информация. С учетом того что телефон регистрируется с использованием паспортных данных, при получении судебного ордера получится без труда найти связь между номером телефона и его обладателем.

Спецслужбам даже не нужно решение суда, чтобы получить, например, историю вызовов абонента.

Сотовые операторы, осуществляющие деятельность на территории России, обязаны внедрять систему технических средств для обеспечения функций оперативно-разыскных мероприятий (СОРМ), что дает возможность силовым структурам прослушивать разговоры при получении официального судебного решения. При этом использование СОРМ возможно и до него, «в случаях, установленных федеральными законами».

Как активировать дополнительную защиту

Почти все популярные онлайн-сервисы уже давно внедрили поддержку двухфакторной аутентификации. На различных сайтах такой способ входа называется по-разному:

— во «ВКонтакте» и Facebook — пункт «безопасность» в настройках страницы под названием «подтверждение входа»;
— в Twitter — «проверка входа»;
— в Google и Telegram — «двухэтапная аутентификация».

В большинстве случаев для ее включения потребуется телефон, который способен получать SMS-сообщения.

В Telegram же, например, способ входа несколько отличается. Первым этапом выступает как раз SMS-сообщение, которое должен получить пользователь для входа в свой аккаунт. Если включена двухфакторная аутентификация, то после этого потребуется ввести заранее подготовленный пароль.

Кому следует использовать двухфакторную аутентификацию

Очевидно, что подобный способ защиты используется в тех случаях, когда пользователь передает личную, ценную или конфиденциальную информацию. В первую очередь дополнительные средства нужны публичным лицам — политикам, активистам, медийным персонам, чья личная жизнь потенциально может привлечь злоумышленников.

Но не стоит забывать, что от «угона» аккаунтов не защищены и обычные люди, которые обычно уверены в своей непричастности к столь громким событиям, — ведь в личной информации могут содержаться данные онлайн-банкинга и другие ценные пароли.

Кроме того, ваши аккаунты могут быть использованы для банальной спам-рассылки. Или, что еще хуже, мстительные люди вполне способны потратить свои силы для того, чтобы написать, к примеру, провокационные заявления от вашего имени, что не лишит вас финансовых сбережений, но может подпортить репутацию. Именно поэтому дополнительные способы защиты востребованы не только среди популярных личностей, но и у обычных пользователей интернета.

P.S.S.

Кстати, на днях:

Иранские хакеры взломали десятки аккаунтов Telegram

Хакеры из Ирана определили номера телефонов 15 млн жителей страны, которые используют мессенджер Telegram. Также им удалось взломать десятки аккаунтов, пишет Reuters.

Агентство ссылается на экспертов по кибербезопасности Коллина Андерсона и Клаудио Джарньери из Amnesty International.

Они сообщили, что аккаунты, к которым получили доступ хакеры, принадлежат журналистам и активистам. Также эксперты рассказали, что ответственной за взлом является группа Rocket Kitten, и отказались связывать атаку с иранским правительством.

Отмечается, что взлом стал возможен благодаря тому, что сервис использует SMS-сообщения для идентификации устройства. Эксперты полагают, что взлом произошел благодаря сотрудничеству операторов сотовых сетей с хакерами.

Представитель Telegram Маркус Ра не стал отрицать или опровергать данные о взломе, но посоветовал пользоваться двойной идентификацией.

Источник: Газета.Ру

См. также:

0


1 звезда2 звезды3 звезды4 звезды5 звезд (Еще никто не голосовал)
Loading ... Loading ...
Google Bookmarks Digg Reddit del.icio.us Ma.gnolia Technorati Slashdot Yahoo My Web News2.ru БобрДобр.ru RUmarkz Ваау! Memori.ru rucity.com МоёМесто.ru Mister Wong





Записи с теми же метками:

Оставить комментарий

:wink: :-| :-x :twisted: :) 8-O :( :roll: :-P :oops: :-o :mrgreen: :lol: :idea: :-D :evil: :cry: 8) :arrow: :-? :?: :!:

ВНИМАНИЕ! Все комментарии, содержащие явные оскорбления (в адрес автора статьи или собеседника-комментатора), спам и очевидную рекламу сторонних ресурсов, будут удалены. Также не рекомендуется злоупотреблять матом (такие сообщения будут отмодерированы или удалены).


Другие материалы: