Zűr lehet: átirányíthatók a banki SMS-ek

 

Miközben mindenki csak a WannaCry vírusra figyelt, a világ megfeledkezett egy hasonlóan durva biztonsági résről, mely a mobilcégek SMS szolgáltatásait érinti.

A sérülékenység segítségével a banki azonosító kódokat tartalmazó SMS üzeneteket sikerült más telefonszámra átirányítani, és így a bűnözők pénzt tudtak lopni német bankszámlákról. A biztonsági rést már 2014-ben felfedezték, de idén használták először.

A Süddeutsche Zeitung cikke szerint a megszerzett kódokat a bűnözők különböző összegek átutalására használták fel – éjjel, mikor a célszemélyek aludtak.

sms-banking-g-data

Mindehhez a támadóknak ismerniük kellett a kiszemelt áldozat banki adatait, mobilszámát és hozzá kellett férniük az SS7 protokollhoz.

A banki adatokat, mobilszámot adathalász támadással szerezték meg. Az SS7 protokollhoz való hozzáférést pedig egyszerűen megvásárolták, kevesebb mint ezer euróért a német O2 Telefonica egyik meg nem nevezett külföldi partnerétől. Így képesek voltak kedvükre hívásokat és SMS-eket átirányítani.

Avitt technológia a középpontban

Az SS7, vagyis Signaling System #7 egy telefonos protokollt takar, melyet 1975-ben fejlesztettek ki, és amit azóta világszerte több mint 800 vezetékes és mobil távközlési szolgáltató használ. A protokoll szabályozza a hívás továbbítást, a számlázást, a szöveges üzenetek küldését.

Segítségével állapítják meg, hogy egy SIM kártya még mindig használatban van vagy sem. Lehetővé teszi a számok hordozását, hogy a szolgáltatók egy mobiltelefon földrajzi helyzetét bemérjék 50 méteres pontossággal.

Erre nem azért van szükség, mert kémkedni szeretnének utánunk, hanem azért, hogy a szolgáltató az egyik adótoronyból a másiknak adja át a hívást. Enélkül az autós mobilhívás megszakadna, miután az eredeti kapcsolatot létrehozó adótorony hatósugarából kikerülünk.

A kihasználható sérülékenységet 2014-ben két német kutató, Tobias Engel és Karsten Nohl publikálta, előtte állítólag a titkosszolgálat használta a célszemélyek tartózkodásának megállapítására.

Az egyik kutató, Karsten Nohl 2016-ban bebizonyította, hogy egy jól felszerelt támadó belehallgathat a telefonbeszélgetésekbe, és meghatározhatja a felhasználó földrajzi helyzetét. Az akkori következtetések szerint az átlagembernek nincs miért tartania a támadástól. Azonban tavaly az Amerikai Egyesült Államok szabványügyi hivatala már azt javasolta, hogy az SMS alapú, kétfaktoros azonosítást ki kellene vezetni.

Mivel az SS7 protokollt 42 éve dolgozták ki, az akkori szabványok és élet szerint biztonságos technológiáról beszélhetünk. A kidolgozói nem tudhatták, hogy évtizedekkel később életünk minden részét átitatja egy olyan technológia, melyet internetnek nevezünk.

Az SS7 biztonsága azon az előfeltételezésen alapult, hogy a technológia csak a távközlési szolgáltatók számára elérhető, és nem fér hozzá a nagyközönség.

Hogyan tudunk ellene védekezni?

A német vírusvédelemi cég, a G DATA szakemberi arra hívják fel a figyelmet, hogy az SMS üzenetekben kiküldött kódok helyett a bankoknak más módszert kellene használniuk a kétlépcsős azonosításra.

A szakemberek a hardveres biztonsági tokenek, vagy a Google Authenticator-hoz hasonló mobil alkalmazások bevezetését javasolják. Addig is a távközlési vállalatok felelőssége az SS7-ről más, biztonságosabb protokollokra áttérni.