Wystarczy numer telefonu, by włamać się na konto na Facebooku

17 czerwca 2016, 18:43
Domena Publiczna. Fot. pixabay.com

Hakerzy są w stanie przejąć kontrolę nad kontem na Facebooku, znając tylko numer telefonu ofiary. Umożliwiają to podatności zawarte w protokołach komórkowych. 

Udowodnili to specjaliści z firmy Positive Technologies. Pozwoliły im na to podatności zawarte w protokołach SS7 (Signalling System No. 7). Są one stosowane przez firmy komunikacyjne na całym świecie do przekazywania informacji między telefonami w różnych sieciach.

Ekspertom udało się wykorzystać podatności w SS7, znając jedynie numer telefonu ofiary. Nic nie pomogły zabezpieczenia zapisane w samej aplikacji Facebooka. Wystarczy, że haker skorzysta z opcji „Zapomniałeś hasła?” w aplikacji portalu społecznościowego. W tym momencie przestępca podaje numer telefonu lub adres e-mail ofiary, a zaraz haker wykorzystuje lukę w protokole, by przechwycić sms-a z jednorazowym kodem dostępu do konta. W ten sposób uda się przejąć kontrolę nad kontem na Facebooku – pod warunkiem, że ofiara zarejestrowała numer telefonu na swoim profilu. Aby uniknąć tej podatności, wystarczy w ustawieniach zaznaczyć, że zgubione hasło chcemy odzyskiwać za pomocą wiadomości e -mail, a nie sms-ów.

O tym, że protokoły SS7 nie są bezpieczne, zrobiło się głośno w ostatnim czasie. Dziennikarze amerykańskiej stacji CBS udowodnili, że podatności w SS7 pozwalają hakerom podsłuchiwać rozmowy, czytać wiadomości tekstowe i namierzać lokalizację rozmówców. Co gorsza, wystarczy im do tego jedynie numer telefonu ofiary. Nie muszą nawet wysyłać sms-ów ani wiadomości ze złośliwym oprogramowaniem. W podobny sposób, w jaki przejęto kontrolę nad Facebookiem hakerom udało się uzyskać dostęp do innej aplikacji – WhatsApp. Prywatność rozmów użytkowników WhatsApp miało zapewnić szyfrowanie wiadomości metodą end- to end encryption. Niestety, eksperci z Positive Technologies udowodnili także, że luki w protokole SS7 pozwalają przełamać nawet te zabezpieczenia.

 Czytaj też: Serwery Facebooka podatne na cyberatak

KomentarzeLiczba komentarzy: 0
No results found.
Reklama
Tweets CyberDefence24