Linux E X P R E S

Facebook

Slabiny SS7 byly zneužity ke krádeži peněz z účtů

Hrozba

Že zranitelnost mobilních zařízení přes SS7 není jen teoretická, se ukázalo letos v lednu, kdy útočníci touto cestou odcizili peníze z bankovních účtů.


Již tři roky se ví o vážné zranitelnosti signalizačního protokolu č. 7 (SS7), používaného v mobilních telefonních sítích (první obavy se objevily dokonce už v roce 2008). A letos v lednu se potvrdilo, že věc nelze brát na lehkou váhu. Útočníci zneužili tuto bezpečnostní slabinu k prolomení dvoufaktorové autentizace u přístupu k bankovním účtům a odcizili z těchto účtů peníze. O krádeži informovaly německé noviny Süddeutsche Zeitung.

Zástupce telefonního operátora Telefónica O2 informace potvrdil: „V polovině ledna [proběhl] kriminální útok ze sítě cizího operátora, [kdy] SMS přicházející na jednotlivá čísla byla přesměrována [bez autorizace].‟ Útok na SMS byl doplňkem ovládnutí počítačů pomocí malwaru; hesla odchycená touto cestou však nestačí k převodu peněz, proto útočníci zneužili zmíněnou zranitelnost SS7 a z přesměrovaných zpráv získali číselné kódy k potvrzení transakcí (mTAN).

Americký normalizační úřad NIST původně do návrhu pravidel pro digitální autentizaci začlenil zákaz využití SMS v rámci dvoufaktorové autentizace, revidovaný návrh ale už tento zákaz neobsahuje.

Diskuze (0) Nahoru