Overenie cez SMS nie je dokonalé. Problémom je opätovné používanie čísiel aj neinformovanosť používateľov.
Programátor James Martindale upozornil na závažný problém týkajúci sa overovania cez SMS správy. Zistil, že sa dá veľmi ľahko získať kontrola nad cudzím účtom. Stačí k tomu znovu pridelené telefónne číslo a malá dávka šťastia.
Vo svojom výskume sa síce zameral na sociálnu sieť Facebook, no rovnaký mechanizmus útoku sa dá aplikovať prakticky do všetkých služieb využívajúcich SMS autentifikáciu. Bližšie Informácie o hrozbe zverejnil server HackRead.
Overenie cez SMS ako zbraň
Súčasťou registrácie do mnohých internetových služieb je (okrem iného) aj vyplnenie a overenie telefónneho čísla. Vďaka tomu je možné aktivovať dvojfaktorovú autentifikáciu alebo obnoviť prístup do účtu v prípade zabudnutého hesla.
Problémy však môžu nastať vtedy, ak si používateľ zmení telefónne číslo, respektíve ho prestane využívať. Ak si totiž staré číslo neodstránite z nastavení, môže váš účet jednoducho prevziať cudzia osoba.
Problémom sú recyklované čísla
Mechanizmus útoku, ktorý popísal Martindale je založený na dvoch predpokladoch. Staré telefónne číslo používateľa musí byť takpovediac recyklované. To znamená, že telekomunikačný operátor začne opäť ponúkať číslo, ktoré už v minulosti patrilo inej osobe.
Pokiaľ to číslo pôvodný majiteľ mal prepojené s niektorým z online účtov, existuje veľká pravdepodobnosť, že recyklované telefónne číslo bude naďalej prepojené s používateľským účtom pôvodného majiteľa čísla.
Nový vlastník čísla môže následne spustiť proces obnovy hesla do cudzieho konta. Mnohé online služby, medzi nimi aj Facebook, totiž ponúkajú možnosť prihlásenia prostredníctvom e-mailu alebo telefónneho čísla.
Potenciálnemu útočníkovi stačí vyplniť telefónne číslo a nechať si zaslať overovaciu SMS správu. Systém autorizuje používateľa a reálny majiteľ konta stráca nad ním kontrolu.
S novým číslom mohol ovládnuť cudzí účet
Martindale vykonal experiment, počas ktorého si zakúpil úplne novú SIM kartu. Svoje nové telefónne číslo následne zadal do formuláru „Nájdite svoj účet“. Sociálna sieť mu podľa očakávaní okamžite ponúkla možnosť zresetovať heslo a získať tým prístup do konta cudzej osoby.
Aby toho nebolo málo, programátor našiel VoIP operátora, ktorý ponúka zmenu telefónneho čísla iba za päť dolárov (po prepočte 4,30 eura). Dostupné čísla sú pritom prehľadne zobrazené, takže si môže útočník vopred overiť, ktoré z nich sú pripojené k cudzím účtom. Napokon ich stačí zakúpiť.
V konečnom dôsledku je tento trik mimoriadne jednoduchý, no pritom veľmi efektívny. Hackerom by mohli odcudzené účty poslúžiť na realizáciu phishingových kampaní, na šírenie škodlivých kódov alebo by ich mohli predávať na čiernom trhu.
Staré čísla odstráňte zo služieb
Spoločnosť Facebook bola na uvedenú hrozbu riadne upozornená. Opodstatnene ju však vylúčila zo svojho odmeňovacieho programu Bug Bounty s odôvodnením, že sociálna sieť nemá kontrolu nad poskytovateľmi telekomunikačných služieb. Ide totiž o logický problém plynúci z recyklácie čísiel.
Používateľom tak nezostáva nič iné, iba dbať na svoju vlastnú bezpečnosť. Na zmenu telefónneho čísla preto treba upozorniť nielen rodinu či priateľov, ale napríklad aj banky. Okrem toho by ste mali odstrániť staré číslo z nastavení v sociálnych sieťach, ako aj vo všetkých službách využívajúcich overovanie cez SMS správy. Nikdy totižto neviete, kedy bude vaše staré číslo „pridelené“ novému majiteľovi.