Θεωρητικά, ο έλεγχος ταυτότητας δύο παραγόντων (2FA) είναι μια εξαιρετική μέθοδος για την ασφάλεια των λογαριασμών σας. Το πρόβλημα με αυτήν τη μέθοδο ασφαλείας, ωστόσο, είναι ότι βασικά βασίζεται σε μηνύματα κειμένου για να σας στείλει έναν κωδικό που εισάγετε στη συνέχεια για να ξεκλειδώσετε τον λογαριασμό σας. Ενώ αυτό φαίνεται καλό στην επιφάνεια, υπάρχουν μεγάλα προβλήματα με το υποκείμενο δίκτυο που παραδίδει τον κώδικα στο τηλέφωνό σας.
Το Σύστημα Σήμανσης Νο 7 ή SS7 είναι το σύστημα πρωτοκόλλων που σχεδόν κάθε τηλεφωνία στον κόσμο χρησιμοποιεί για τη διαχείριση κλήσεων και μηνυμάτων.
Αν ένας χάκερ παραβιάσει αυτό το δίκτυο, μπορεί να παραβλέψει τους κωδικούς 2FA που έχουν σταλεί στον αριθμό τηλεφώνου σας. Μια επιχείρηση έρευνας για την ασφάλεια δημοσίευσε ένα βίντεο όπου πραγματοποιούν ακριβώς μια τέτοια επίθεση.
Χρησιμοποιώντας ένα εργαλείο έρευνας, η Positive Technologies μπόρεσε να συλλάβει όλα τα μηνύματα σε έναν αριθμό για πέντε λεπτά. Αυτό επέτρεψε στους ερευνητές να επαναφέρουν τον κωδικό πρόσβασης τόσο για έναν λογαριασμό Coinbase όσο και για το λογαριασμό Gmail που σχετίζεται με αυτόν, και με ενεργοποιημένο τον έλεγχο ταυτότητας δύο παραγόντων. Εάν ένας χάκερ το έκανε αυτό, μπορείτε να αποχαιρετήσετε τα Bitcoins σας.
Το πιο τρομακτικό μέρος μπορεί να είναι ότι η Positive Technologies χρησιμοποιεί κοινά γνωστά ελαττώματα στο σύστημα.
Το SS7 σχεδιάστηκε το 1975, οπότε υπήρχε αρκετός χρόνος για να βρεθούν τρύπες σε αυτό το σύστημα. Ενώ η πρόσβαση υποτίθεται ότι περιορίζεται μόνο στις τηλεπικοινωνίες, υπάρχουν ορισμένες υπηρεσίες αεροπειρατείας που είναι προς το παρόν διαθέσιμες προς αγορά. Ακόμα κι αν δεν υπάρχουν επί του παρόντος διαθέσιμες εκμεταλλεύσεις τρίτων, οι ερευνητές λένε ότι οι χάκερ μπορούν απλώς να επιτεθούν στο ίδιο το δίκτυο και ν' αποκτήσουν πρόσβαση.
Παρόλο που η μεγάλη πλειοψηφία των εταιρειών χρησιμοποιούν SMS για έλεγχο ταυτότητας δύο παραγόντων, μερικές κινούνται πέρα από αυτό. Εταιρείες όπως η Google προσφέρουν πιστοποίηση βάσει εφαρμογής που παρακάμπτει εντελώς το πρωτόκολλο SMS. Μπορείτε να κάνετε λήψη του Google Authenticator και μετά τη ρύθμιση, καταργήστε τον αριθμό τηλεφώνου σας ως το δεύτερο βήμα στις ρυθμίσεις επαλήθευσης δύο παραγόντων. Αυτό διασφαλίζει ότι ακόμη και αν οι χάκερ κάνουν χρήση αυτής της μεθόδου για να υποκλέψουν τα μηνύματά σας, δεν θα υπάρχει τίποτα που να σχετίζεται με το 2FA.
0 Post a Comment:
Δημοσίευση σχολίου