Aiasz
Aiasz

A WannaCry árnyékában a világ megfeledkezett egy hasonlóan komoly biztonsági résről, mely a mobilcégek SMS szolgáltatásait érinti.

Átirányíthatók a banki azonosítókat tartalmazó SMS-ek

Szerző Aiasz  •  péntek, 26.05.2017, 17:15
221 megtekintés

A sérülékenység segítségével a banki azonosító kódokat tartalmazó SMS üzeneteket sikerült más telefonszámra átirányítani, és így a bűnözők pénzt tudtak lopni német bankszámlákról. A biztonsági rést már 2014-ben felfedezték, de idén használták először.

A Süddeutsche Zeitung cikke szerint a sérülékenységet kihasználó bűnözőknek sikerült olyan SMS üzeneteket átirányítani a saját készülékeikre, melyek a banki azonosításhoz használt, egyszer használatos kódokat tartalmazták. A megszerzett kódokat a bűnözők különböző összegek átutalására használták fel – éjjel, mikor a célszemélyek aludtak.

Mindehhez a támadóknak ismerniük kellett a kiszemelt célszemély banki adatait, mobilszámát és hozzá kellett férniük az SS7 protokollhoz. A banki adatokat, mobilszámot adathalász támadással szerezték meg. Az SS7 protokollhoz való hozzáférést pedig egyszerűen megvásárolták, kevesebb mint ezer euróért a német O2 Telefonica egyik meg nem nevezett külföldi partnerétől. Így képesek voltak kedvükre hívásokat és SMS-eket átirányítani.

Középkorú technológia a középpontban

Az SS7, vagyis Signaling System #7 egy telefonos protokollt takar, melyet 1975-ben fejlesztettek ki, és amit azóta világszerte több mint 800 vezetékes és mobil távközlési szolgáltató használ. A protokoll szabályozza a hívás továbbítást, a számlázást, a szöveges üzenetek küldését. Segítségével állapítják meg, hogy egy SIM kártya még mindig használatban van vagy sem. Lehetővé teszi a számok hordozását, hogy a szolgáltatók egy mobiltelefon földrajzi helyzetét bemérjék 50 méteres pontossággal. Erre nem azért van szükség, mert kémkedni szeretnének utánunk, hanem azért, hogy a szolgáltató az egyik adótoronyból a másiknak adja át a hívást. E nélkül az autós mobilhívás megszakadna, miután az eredeti kapcsolatot létrehozó adótorony hatósugarából kikerülünk.

A kihasználható sérülékenységet 2014-ben két német kutató, Tobias Engel és Karsten Nohl publikálta, előtte állítólag a titkosszolgálat használta a célszemélyek tartózkodásának megállapítására. Az egyik kutató, Karsten Nohl 2016-ban bebizonyította, hogy egy jól felszerelt támadó belehallgathat a telefonbeszélgetésekbe, és meghatározhatja a felhasználó földrajzi helyzetét. Az akkori következtetések szerint egy átlagos embernek nincs miért tartania a támadástól. Azonban tavaly az Amerikai Egyesült Államok szabványügyi hivatala már azt javasolta, hogy az SMS alapú, kétfaktoros azonosítást ki kellene vezetni.

Mivel az SS7 protokollt 42 éve dolgozták ki, az akkori szabványok és élet szerint biztonságos technológiáról beszélhetünk. A kidolgozói nem tudhatták, hogy évtizedekkel később egy olyan technológia, melyet internetnek nevezünk, életünk minden részét átitatja. Az SS7 biztonsága azon az előfeltételezésen alapult, hogy a technológia csak a távközlési szolgáltatók számára elérhető, és nem fér hozzá a nagyközönség.

Hogyan tudunk ellene védekezni?

A német vírusvédelemi cég, a G DATA szakemberi arra hívják fel a figyelmet, hogy az SMS üzenetekben kiküldött kódok helyett a bankoknak más módszert kellene használniuk a kétlépcsős azonosításra. A szakemberek a hardveres biztonsági tokenek, vagy a Google Authenticator-hoz hasonló mobil alkalmazások bevezetését javasolják. Addig is a távközlési vállalatok felelőssége az SS7-ről más, biztonságosabb protokollokra áttérni.

További cikkek

  • Az 5 legjobb okosóra

    Ritkán csinálok ilyen posztot, de itt az ideje...

  • Aiasz • dec 12 bővebben »
    Fel

    A weboldalunkon cookie-kat használunk, hogy a legjobb felhasználói élményt nyújthassuk. Részletes leírás

    Az anonim látogatóazonosító (cookie, süti) egy olyan egyedi - azonosításra, illetve profilinformációk tárolására alkalmas - jelsorozat, melyet a szolgáltatók a látogatók számítógépére helyeznek el. Fontos tudni, hogy az ilyen jelsorozat - tekintettel arra, hogy a felhasználása során a teljes IP cím tárolása nem történik meg - önmagában semmilyen módon nem képes az ügyfelet, azaz a látogatót azonosítani, csak a látogató gépének felismerésére alkalmas. Név, e-mail cím vagy bármilyen más személyes információ megadása nem szükséges, hiszen az ilyen megoldások alkalmazásakor a látogatótól a szolgáltató nem is kér adatot, az adatcsere voltaképpen gépek között történik meg. Az aiasz.hu oldal kizárólag a felhasználói élmény javítása céljából tárol sütiket a felhasználók gépén. Nincs semmilyen utólagos felhasználás.

    Bezár