¿Podemos dejar de fingir que los SMS son seguros ahora? – Krebs sobre seguridad


Los mensajes de texto SMS ya eran el eslabón más débil para asegurar casi cualquier cosa en línea, principalmente porque hay decenas de miles de empleados en las tiendas de dispositivos móviles que pueden ser engañados o sobornados para que cambien el command de un número de teléfono celular a otra persona. Ahora estamos aprendiendo sobre todo un ecosistema de empresas que cualquiera podría usar para interceptar silenciosamente mensajes de texto destinados a otros usuarios de dispositivos móviles.

Investigador de seguridad “Blessed225«Trabajó con Vice.com Joseph Cox para interceptar los mensajes de texto entrantes de Cox con su permiso. Fortunate225 mostró cómo cualquiera puede hacer lo mismo después de crear una cuenta en un servicio llamado Sakari, una empresa que ayuda a celebridades y empresas a realizar marketing por SMS y mensajería masiva.

El «cómo lo hicieron» fue asquerosamente simple. Cuesta solo $ 16 y había muy poco para evitar que alguien robara sus mensajes de texto sin su conocimiento. Cox escribe:

Sakari ofrece una prueba gratuita a cualquiera que desee ver cómo se ve el panel de la empresa. El strategy más económico, que permite a los clientes agregar un número de teléfono que desean enviar y recibir mensajes de texto, es donde van los $ 16. Lucky225 proporcionó a Motherboard capturas de pantalla de la interfaz de Sakari, que muestran un símbolo «+» rojo donde los usuarios pueden agregar un número.

Al agregar un número, Sakari proporciona la Carta de autorización para que el usuario la firme. La LOA de Sakari dice que el usuario no debe realizar ningún comportamiento ilegal, de acoso o inapropiado con el servicio de mensajería de texto y el número de teléfono.

Pero como mostró Blessed225, un usuario puede simplemente registrarse con el número de otra persona y recibir sus mensajes de texto.

Lucky le dijo a KrebsOnSecurity que Sakari desde entonces ha tomado medidas para bloquear su servicio para que se use con números de teléfono móvil. Pero dijo que Sakari es solo una parte de una industria mucho más grande y no regulada que puede usarse para secuestrar mensajes SMS para muchos números de teléfono.

«No es una cosa de Sakari», respondió Lucky225 cuando se le acercó por primera vez para obtener más detalles. “Es algo que afecta a toda la industria. Hay muchos de estos proveedores de &#39habilitación de SMS&#39 «.

La forma más común en que los ladrones secuestran mensajes SMS en estos días consiste en el «intercambio de sim», un delito que implica sobornar o engañar a los empleados de las empresas de telefonía móvil para que modifiquen la información de la cuenta del cliente.

En un intercambio de SIM, los atacantes redirigen el número de teléfono del objetivo a un dispositivo que controlan y luego pueden interceptar los mensajes SMS y las llamadas telefónicas entrantes del objetivo. Desde allí, el atacante puede restablecer la contraseña de cualquier cuenta que utilice ese número de teléfono para los enlaces de restablecimiento de contraseña.

Pero los ataques que Lucky225 ha estado demostrando simplemente requieren que los clientes de cualquier número de empresas firmen una “carta de autorización” jurada o LOA que indique que sí tienen la autoridad para actuar en nombre del propietario del número objetivo.

Allison Nixon es director de investigación en Unidad221B, una firma de investigaciones cibernéticas con sede en la ciudad de Nueva York. Nixon, una experta en ataques de intercambio de SIM que ha sido citada bastante en este website, dijo que también hizo que Blessed225 probara sus trucos de interceptación en su teléfono móvil, solo para ver sus mensajes SMS entrantes aparecer en su teléfono quemador.

«Esto básicamente significa que lo único que se interpone entre cualquiera y el equivalente a un intercambio de SIM es una LOA falsificada», dijo Nixon. «Y la &#39solución&#39 puesta parece ser de naturaleza temporal».

El método de interceptación que describió Lucky225 todavía está peligrosamente expuesto por una serie de debilidades sistémicas en la pink world wide de SMS, dijo.

La mayoría de los proveedores de telecomunicaciones antiguos y grandes validan las solicitudes de transferencia relacionadas con sus clientes mediante consultoría NPAC, o la Centro de administración de portabilidad numérica. Cuando los clientes desean transferir sus números de teléfono, móviles o de otro tipo, esa solicitud se enruta a través de NPAC al operador del cliente.

Esa solicitud de cambio lleva lo que se conoce como ALT-SPID, que es un número de cuatro dígitos que permite a NPAC identificar la compañía de telecomunicaciones que actualmente brinda el servicio al cliente. Más importante aún, como parte de este proceso, no pueden ocurrir cambios a menos que el operador del cliente haya verificado los cambios con el cliente existente.

Pero Fortunate225 dijo que la clase de interceptación de SMS que ha estado probando apunta a una serie de debilidades de autenticación vinculadas a un sistema desarrollado por NetNumber, una compañía privada en Lowell, Mass. NetNumber desarrolló su propio sistema patentado para mapear proveedores de telecomunicaciones que es utilizado por Sakari y toda una industria de firmas similares.

NetNumber desarrolló sus ALT SPID de seis dígitos (NetNumber ID) para organizar y rastrear mejor a los proveedores de servicios de comunicaciones que usaban otros sistemas de numeración (y diferentes números de dígitos). Pero NetNumber también trabaja directamente con docenas de compañías telefónicas de voz sobre IP o basadas en World wide web que no cumplen con las mismas reglas regulatorias que se aplican a los proveedores de telecomunicaciones heredados.

“Hay muchos proveedores de VoIP que ofrecen &#39habilitación de texto&#39 &#39fuera de la pink&#39”, explicó Lucky225. «Empresas como ZipWhip que prometen permitirle &#39Enviar mensajes de texto a su número de teléfono comercial existente&#39 para que los clientes puedan enviar mensajes de texto a su línea comercial principal, ya sea VoIP, sin cargo o un número fijo».

Como Fortunate225 escribió en su artículo medio completo, hay una gran cantidad de proveedores de VoIP al por mayor que le permiten convertirse en revendedor con poca o ninguna verificación, muchos de ellos permiten Cartas de autorización generales (LOA), en las que usted, como revendedor, promete que tiene una LOA registrada para cualquier número que desee. desea habilitar el texto para sus revendedores o usuarios finales.

“En esencia, una vez que tenga una cuenta de revendedor con estos mayoristas de VoIP, puede cambiar el ID de número de purple de cualquier número de teléfono al NNID de su proveedor mayorista y comenzar a recibir mensajes de texto SMS prácticamente sin autenticación alguna. No se necesitan cambios de SIM, ataques SS7 o puertos de salida simplemente escriba el número de teléfono del objetivo en un cuadro de texto y presione enviar y en minutos podrá comenzar a recibir mensajes de texto SMS para ellos. Ni siquiera recibirán una alerta de que haya sucedido algo, ya que sus servicios de voz y datos seguirán funcionando como de costumbre. Sorprendentemente, a pesar de que He revelado esto públicamente en 2018., no se ha hecho nada para detener este ataque relativamente sencillo «.

NetNumber se negó a comentar sobre el registro, pero en su lugar se refirió a una declaración de la CTIA, una asociación comercial que representa a la industria inalámbrica, que dice:

“Después de tomar conocimiento de esta potencial amenaza, trabajamos de inmediato para investigarla y tomamos medidas de precaución. Desde entonces, ningún operador ha podido replicarlo. No tenemos indicios de ninguna actividad maliciosa que involucre la amenaza potencial o que algún cliente se haya visto afectado. La privacidad y seguridad del consumidor es nuestra principal prioridad y continuaremos investigando este asunto «.

Blessed225 le dijo a KrebsOnSecurity que muchas de las principales empresas de telefonía móvil se han movido para garantizar que ninguno de sus clientes se vea afectado por los cambios solicitados a través de NetNumber o sus socios. Pero sospecha que algunas de las firmas de telecomunicaciones inalámbricas y por cable más pequeñas aún pueden ser vulnerables.

«Estoy bastante seguro de que ahora solo están protegiendo a los grandes operadores», dijo. «Pero hay tantas cosas que no sabemos sobre lo que parchearon porque todo el mundo está siendo muy reservado sobre esto en este momento».

Nixon dijo que es hora de que los reguladores federales den un paso al frente y protejan a los consumidores.

“Está claro que se trata de una gran cantidad de porquerías de infraestructura essential y algunos cambios fundamentales tendrán que ocurrir aquí”, dijo. «Los reguladores realmente necesitan involucrarse».

¿QUÉ PUEDES HACER?

Dado el impacto potencialmente amplio de los estafadores que abusan de esta y otras debilidades en el vasto ecosistema móvil para subvertir por completo la seguridad de las comunicaciones basadas en SMS y la autenticación multifactor, probablemente sea una buena strategy reconsiderar su relación con su número de teléfono. Ahora es más sencillo que nunca lo tonto que es confiar en los SMS para cualquier cosa.

Mi consejo ha sido durante mucho tiempo eliminar los números de teléfono de sus cuentas en línea siempre que pueda y evitar seleccionar SMS o llamadas telefónicas como segundo variable o códigos únicos. Los números de teléfono nunca fueron diseñados para ser documentos de identidad, pero en eso se han convertido efectivamente. Es hora de que dejemos de permitir que todos los traten de esa manera.

Cualquier cuenta en línea que valore debe protegerse con una contraseña única y segura, así como con la forma más sólida de autenticación multifactor disponible. Por lo general, esta es una aplicación móvil como Authy o Google Authenticator que genera un código de un solo uso. Algunos sitios como Twitter y Facebook ahora admiten opciones aún más sólidas, como las llaves de seguridad físicas.

Eliminar su número de teléfono puede ser aún más importante para cualquier cuenta de correo electrónico que pueda tener. Regístrese con cualquier servicio en línea, y es casi seguro que requerirá que proporcione una dirección de correo electrónico. En casi todos los casos, la persona que tiene el management de esa dirección puede restablecer la contraseña de cualquier servicio o cuenta asociados, simplemente solicitando un correo electrónico de restablecimiento de contraseña.

Desafortunadamente, muchos proveedores de correo electrónico aún permiten a los usuarios restablecer las contraseñas de sus cuentas enviando un enlace por mensaje de texto al número de teléfono registrado para la cuenta. Por lo tanto, elimine el número de teléfono como respaldo para su cuenta de correo electrónico y asegúrese de que se seleccione un segundo aspect más sólido para todas las opciones de recuperación de cuenta disponibles.

Aquí está la cuestión: la mayoría de los servicios en línea requieren que los usuarios proporcionen un número de teléfono móvil al configurar la cuenta, pero no requieren que el número permanezca asociado con la cuenta una vez establecida. Aconsejo a los lectores que eliminen sus números de teléfono de las cuentas siempre que sea posible y que aprovechen una aplicación móvil para generar códigos únicos para la autenticación multifactor.


Etiquetas: Allison Nixon, ALT-SPID, Lucky225, NetNumber, NPAC, Centro de administración de portabilidad numérica, intercambio de SIM, Unit221B

Esta entrada se publicó el martes 16 de marzo de 2021 a las 6:30 pm y está archivada en Últimas advertencias, La tormenta que se avecina.
Puede seguir cualquier comentario a esta entrada a través de la fuente RSS 2..

Puede saltar hasta el final y dejar un comentario. Pinging no está permitido actualmente.





Enlace a la noticia first