Κενό στο δίκτυο κινητής αφήνει χάκερς να χρησιμοποιούν τον αριθμό σας

Εταιρεία ασφαλείας ανακάλυψε ότι χάκερς μπορούν να εκμεταλλευτούν ένα μικρό κενό στο δίκτυο κινητής τηλεφωνίας, να υποκλέψουν τον αριθμό τηλεφώνου του χρήστη και να πραγματοποιήσουν κλήσεις ή να στείλουν SMS από αυτόν.

Ειδικότερα, η ομάδα Unicorn Team της 360 Technology, μίας εκ των μεγαλύτερων εταιρειών ασφαλείας της Κίνας, ανακάλυψε ότι μπορούσαν να χακάρουν τηλέφωνα, τη στιγμή που οι συσκευές μετέβαιναν από το δίκτυο LTE στο παλαιότερο 2G. Και ναι, το 2G είναι πολύ παλαιότερη τεχνολογία, αλλά οι τηλεφωνικές συσκευές μεταβαίνουν πολύ συχνά στο 2G όταν δεν υπάρχει καλή λήψη σήματος, κάτι που πολλοί ούτε καν αντιλαμβάνονται.

Ωστόσο, αν οι χάκερς εκμεταλλευτούν αυτό το άνοιγμα, θα μπορούν να πραγματοποιούν κλήσεις και να στέλνουν μηνύματα από τον τηλεφωνικό αριθμό του χρήστη.

Τα παραπάνω παρουσίασε η Unicorn Team στο συνέδριο ασφαλείας Black Hat.

Γιατί όμως η μετάβαση από το LTE στο 2G δημιουργεί αυτό το άνοιγμα; Αυτό συμβαίνει επειδή στη διάρκεια της μετάβασης από το ένα δίκτυο στο άλλο, η συσκευή προσπαθεί να διατηρήσει τη σύνδεση χωρίς να δημιουργηθούν προβλήματα.

Κανονικά, όταν ένα τηλέφωνο προσπαθεί να συνδεθεί σε ένα ασύρματο δίκτυο, στέλνει έναν κωδικό ταυτοποίησης, ο οποίος αναγνωρίζει ότι η συσκευή είναι αυτή που όντως χρησιμοποιεί το νούμερο.

Αλλά, όταν το τηλέφωνο πραγματοποιεί μετάβαση μεταξύ αργής και γρήγορης τεχνολογίας, τότε αυτό το βήμα της ταυτοποίησης παραλείπεται προκειμένου να διατηρηθεί η σύνδεση σταθερή.

Η εταιρεία ονόμασε την επίθεση “Ghost Telephonist”, δηλαδή “Τηλεφωνητής Φάντασμα” και βρήκε ότι οι χάκερς θα μπορούσαν να εκμεταλλευτούν το άνοιγμα αυτό και αφού αποκτήσουν πρόσβαση στον τηλεφωνικό σας αριθμό, θα μπορούσαν να τον χρησιμοποιήσουν για διάφορες λειτουργίες που σχετίζονται με αυτόν.

Για παράδειγμα, να αλλάξουν κωδικούς σε διάφορα social media, καθώς πολλά απλά στέλνουν τον κωδικό επιβεβαίωσης στον αριθμό τηλεφώνου και εν συνεχεία να αποκτήσουν πρόσβαση στους λογαριασμούς. Επίσης, σε πολλές χώρες, οι χρήστες χρησιμοποιούν τον αριθμό κινητού τους για να εισέλθουν σε τραπεζικούς λογαριασμούς και δημόσιες υπηρεσίες.

Η ομάδα συνιστά στους παρόχους κινητής που δεν χρησιμοποιούν κάποια μέθοδο επαλήθευσης όταν το δίκτυο αλλάζει, να επιληφθούν του ζητήματος και να υιοθετήσουν ασφαλέστερες πρακτικές.

[via] cnet.com