ΑρχικήsecuritySS7: Ευπαθές πρωτόκολλο ξεκλειδώνει Facebook λογαριασμούς

SS7: Ευπαθές πρωτόκολλο ξεκλειδώνει Facebook λογαριασμούς

“Πως μπορώ να hack-άρω έναν λογαριασμό Facebook?” Την απάντηση σε αυτή την ερώτηση θέλουν να την μάθουν πολλοί. Υπάρχουν πολλοί τρόποι για να μπει κάποιος σε έναν λογαριασμό κάποιου άλλου, αλλά τώρα ερευνητές επιδεικνύουν έναν νέο τρόπο με τον οποίο ο καθένας μπορεί να έχει πρόσβαση στον λογαριασμό κάποιου απλά γνωρίζοντας το κινητό του τηλέφωνο.

Υπάρχουν περίπου 1 δισεκατομμύριο χρήστες του Facebook αυτή την στιγμή, δηλαδή περίπου το ένα έκτο του παγκόσμιου πληθυσμού.  Μεγάλο ποσοστό των χρηστών, έχει συνδέσει έναν τηλεφωνικό αριθμό με τον Facebook λογαριασμό του, το οποίο τον καθιστά ευάλωτο στην ευπάθεια του πρωτοκόλλου SS7.

hack facebook ss7 protocol

Μέσω του SS7 δικτύου, οι hackers μπορούν να μπουν στον λογαριασμό σας μέσω μιας σχετικά απλής διαδικασίας, αρκεί να γνωρίζουν πως να χρησιμοποιήσουν την ευπάθεια. Είναι σημαντικό να αναφέρουμε ότι το SS7 δεν έχει καμία σχέση με το ίδιο το Facebook, καθώς είναι ένα πρωτόκολλο που χρησιμοποιείται από εταιρείες κινητής τηλεφωνίας, και τα αρχικά του είναι από το Signaling System Number 7.

Πως hack-άρουμε λοιπόν και τι μπορούμε να κάνουμε με αυτό το πρωτόκολλο? Το ελάττωμα του SS7 μπορεί να χρησιμοποιηθεί με πολλούς τρόπους που κυμαίνονται από την παρακολούθηση κλήσεων μέχρι την μη εξουσιοδοτημένη αποστολή και λήψη SMS μηνυμάτων. Αλλά με την τελευταία ανακάλυψη, μπορεί να χρησιμοποιηθεί για την κλοπή social media λογαριασμών που έχουν συνδεθεί με κάποιο τηλεφωνικό αριθμό. Το Signaling System 7 χρησιμοποιείται από 800 παρόχους τηλεφωνίας για την μεταφορά  εσωτερικών πληροφοριών όπως πληροφορίες χρεώσεων, δυνατότητες περιαγωγής και αλλά. Το κακό όμως με το SS7 είναι ότι εμπιστεύεται όλα τα μηνύματα που λαμβάνει, χωρίς να ελέγχει από που προήλθαν. Έτσι, οι hackers μπορούν να ξεγελάσουν τις συσκευές των θυμάτων τους, ανακατευθύνοντας τα μηνύματα τους, στις συσκευές των ίδιων (των Hacker).

Πρόσφατα ανακοινώθηκε ότι εφαρμογές όπως το Whats up και το Telegram που προσφέρει end to end κρυπτογράφηση, μπορούν να παραβιαστούν με τον ίδιο τρόπο καθώς για την εγγραφή νέων χρηστών, χρησιμοποιούν τους τηλεφωνικούς τους αριθμούς, και μαζί ακολουθεί και το Facebook.

Οι hackers πρέπει αρχικά να πατήσουν την “Forgot password” επιλογή στην σελίδα του Facebook. Όταν φτάσουν στην επόμενη σελίδα, πρέπει να εισάγουν μια έγκυρη διεύθυνση email ή έναν τηλεφωνικό αριθμό. Σε αυτό το σημείο, με την ευπάθεια του SS7 ο hacker αφού εισάγει το τηλέφωνο του θύματος, μπορεί να δει το One time passcode που φτάνει στην συσκευή του θύματος μέσω SMS, και να αλλάξει το password.

Οι ερευνητές αναφέρουν ότι το συγκεκριμένο ελάττωμα μπορεί να εφαρμοστεί σε όλες τις υπηρεσίες που χρησιμοποιούν τηλεφωνικούς αριθμούς για λόγους ανάκτησης password.

Ωστόσο οι παρακάτω τρόποι βοηθάνε τους χρήστες να είναι ασφαλείς από την εν λόγω ευπάθεια:

  • Χρησιμοποιήστε 2FA συστήματα που δεν χρειάζονται μηνύματα SMS.
  • Μην δηλώνετε το τηλέφωνό σας στους λογαριασμούς σας.
  • Μην πατάτε συνδέσμους που δεν γνωρίζετε που οδηγούν.
  • Προτιμήστε υπηρεσίες που δεν χρησιμοποιούν τηλεφωνικό αριθμό, αλλά end to end encryption.

Ακολουθεί ένα video που δείχνει τον τρόπο με τον οποίο δουλεύει η ευπάθεια

[su_dailymotion url=”https://www.dailymotion.com/video/x5762ig” quality=”1080″]

SecNews
SecNewshttps://www.secnews.gr
In a world without fences and walls, who need Gates and Windows

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS