Привязанный к номеру телефона аккаунт в соцсетях можно взломать
Исследователи российской компании Positive Technologies рассказали о возможности взлома аккаунта Facebook при помощи номера мобильного телефона, к которому этот аккаунт привязан. Таким образом можно взламывать учетные записи и на других сервисах, предлагающих возможность восстановления пароля при помощи SMS-сообщения.
Эксперимент проводился по взлому аккаунтов в Facebook и WhatsApp, сообщает Cnews. Исследователи использовали уязвимость в протоколе Signalling System No. 7 (SS7), которая позволила им перенаправить SMS-сообщение для восстановления пароля на номер исследователей. Полученный код был применен для сброса пароля к аккаунту Facebook. Использованный ими метод действует и на других сервисах, где сброс пароля осуществляется посредством SMS-сообщения.
В прошлом месяце хакеры уже демонстрировали возможность взлома аккаунтов в WhatsApp и Telegram при помощи SS7. Этот протокол был разработан в 1975 году, он позволяет осуществлять маршрутизацию телефонных вызовов между различными центрами коммутации и различными операторами. Более того, протокол используется для роуминга, то есть если абонент уезжает в другую страну, операторы с помощью SS7 обмениваются данными с домашним оператором абонента. Суть в том, что в SS7 не важен источник сообщения и все сообщения, передающиеся по этому протоколу, считаются априори безопасными.
Считается, что SMS позволяет дополнительно обезопасить пользователей, однако на самом деле они не укрепляют безопасность, поскольку подобные функции создаются на основе уязвимой инфраструктуры. Уязвимости в SS7 оказались полезны и для коммерческих организаций. Так, с их помощью израильская компания Ability предлагает заказчику фактическую слежку за любым мобильным телефоном — возможность определять его местонахождение, прослушивать его разговоры и перехватывать SMS. Чтобы закрыть уязвимости в протоколе, операторам связи достаточно установить фаервол со специальными правилами. Пользователям, в свою очередь, не рекомендуется публиковать свой номер на ресурсах в интернете.