Nová akademická štúdia poukázala na množstvo úskalí v oblasti súkromia a bezpečnosti spojených s recykláciou mobilných telefónnych čísel, ktoré by sa mohli zneužiť na rôzne zneužitia vrátane prevzatia účtov, phishingu a spamových útokov a dokonca zabrániť obetiam prihlásiť sa na online služby. .
Zistilo sa, že takmer 66 % recyklovaných čísel, ktoré boli zaradené do vzorky, bolo prepojených s online účtami predchádzajúcich vlastníkov na obľúbených webových stránkach, čo potenciálne umožnilo krádeže účtov jednoduchým obnovením účtov spojených s týmito číslami.
“Útočník môže cyklicky prechádzať dostupnými číslami zobrazenými na online rozhraniach na zmenu čísel a kontrolovať, či niektoré z nich nie sú spojené s online účtami predchádzajúcich vlastníkov,” uviedli vedci. V takom prípade môže útočník získať tieto čísla a obnoviť heslo na účtoch a po prihlásení prijať a správne zadať OTP zaslané prostredníctvom SMS.”
Zistenia sú súčasťou analýzy vzorky 259 telefónnych čísel dostupných novým predplatiteľom veľkých amerických telekomunikačných spoločností T-Mobile a Verizon Wireless. Štúdiu vykonali Kevin Lee z Princetonskej univerzity a profesor Arvind Narayanan, ktorý je jedným z členov výkonného výboru Centra pre politiku informačných technológií.
Recyklácia telefónnych čísel sa týka štandardnej praxe opätovného prideľovania odpojených telefónnych čísel iným novým predplatiteľom operátora. Podľa Federálnej komunikačnej komisie (FCC) sa v USA každý rok odpojí približne 35 miliónov telefónnych čísel
To však môže predstavovať aj vážne nebezpečenstvo, keď útočník vykoná spätné vyhľadávanie náhodným zadaním takýchto čísel do online rozhraní, ktoré ponúkajú títo dvaja operátori, a keď narazí na recyklované číslo, kúpte si ho a úspešne sa prihlásite na účet obete, ku ktorému číslo je prepojený.
Jadrom útočnej stratégie je nedostatok limitov dopytu na dostupné čísla, ktoré operátori zaviedli na ich predplatených rozhraniach na zmenu čísel, okrem zobrazenia „celých čísel, čo útočníkovi dáva možnosť objaviť recyklované čísla pred potvrdením čísla. zmeniť.”
A čo viac, 100 zo vzorkovaných telefónnych čísel bolo identifikovaných ako spojených s e-mailovými adresami, ktoré boli v minulosti zapojené do narušenia údajov, čím sa umožnilo zneužitie účtov druhého druhu, ktoré obchádza viacfaktorovú autentifikáciu založenú na SMS. Pri treťom útoku bolo 171 z 259 dostupných čísel uvedených v službách vyhľadávania ľudí, ako je BeenVerified, a počas tohto procesu unikli citlivé osobné informácie predchádzajúcich vlastníkov.
“Akonáhle získajú číslo predchádzajúceho vlastníka, môžu vykonávať útoky na zosobnenie, aby sa dopustili podvodu alebo nahromadili ešte viac PII na predchádzajúcich vlastníkoch,” vysvetlili vedci.
Okrem vyššie uvedených troch útokov spätného vyhľadávania sa päť ďalších hrozieb, ktoré umožňuje recyklácia telefónnych čísiel, zameriava na predchádzajúcich aj budúcich vlastníkov, čo umožňuje zlomyseľnému aktérovi vydávať sa za minulých vlastníkov, ukradnúť online telefónne účty obetí a ďalšie prepojené online účty, a čo je ešte horšie, vykonať útoky odmietnutia služby.
„Útočník získa číslo, prihlási sa do online služby, ktorá vyžaduje telefónne číslo, a číslo zverejní,“ uviedli vedci. “Keď obeť získa číslo a pokúsi sa prihlásiť do rovnakej služby, bude jej odmietnutá z dôvodu existujúceho účtu. Útočník môže obeť kontaktovať prostredníctvom SMS a požadovať platbu, aby uvoľnil číslo na platforme.”
V reakcii na zistenia T-Mobile uviedol, že aktualizoval svoju stránku podpory „Zmeniť svoje telefónne číslo“ s informáciami o pripomenutí používateľom, aby „aktualizovali svoje kontaktné číslo na všetkých účtoch, na ktorých je vaše číslo uložené, ako sú napríklad upozornenia pre bankové účty, sociálne siete atď.” a špecifikujte 45-dňovú dobu starnutia čísel nariadenú FCC, aby sa umožnilo opätovné pridelenie starých čísel.
Podobne aj Verizon vykonal podobné revízie svojej stránky podpory „Spravovať mobilnú službu Verizon“. Zdá sa však, že ani jeden z nosičov neurobil žiadne konkrétne zmeny, ktoré by útokom sťažili.
Štúdia je ďalším dôkazom toho, prečo je autentifikácia založená na SMS riskantnou metódou, pretože vyššie uvedené útoky by mohli protivníkovi umožniť ukradnúť účet s podporou SMS 2FA bez toho, aby musel poznať heslo.
„Ak sa potrebujete vzdať svojho čísla, najskôr ho odpojte od online služieb,“ uviedol Narayanan v tweete. „Zvážte nízkonákladové „parkovacie“ služby. Používajte bezpečnejšie alternatívy k SMS-2FA, ako sú aplikácie na overovanie totožnosti.“
