Secuestro fácil de SMS – Schneier on Safety


Fácil secuestro de SMS

Vice es reportando en una vulnerabilidad de teléfono celular causada por servicios comerciales de SMS. Una de las cosas que permiten estos servicios es el reenvío de mensajes de texto. Resulta que con un poco de dinero anónimo [en este caso, $ 16 de descuento en una tarjeta de crédito prepaga anónima] y algunas mentiras, puede reenviar los mensajes de texto desde cualquier teléfono a cualquier otro teléfono.

Para las empresas, enviar mensajes de texto a cientos, miles o quizás millones de clientes puede ser una tarea laboriosa. Sakari agiliza ese proceso al permitir que los clientes comerciales importen su propio número. A Existe un amplio ecosistema de estas empresas, cada uno publicitando su propia capacidad para ejecutar mensajes de texto para otras empresas. Algunas empresas dicen que solo permiten a los clientes desviar mensajes para teléfonos fijos comerciales o teléfonos VoIP, mientras que otras también permiten números móviles.

Sakari ofrece una prueba gratuita a cualquiera que desee ver cómo se ve el panel de la empresa. El plan más económico, que permite a los clientes agregar un número de teléfono que desean enviar y recibir mensajes de texto, es donde van los $ 16. Blessed225 proporcionó a Motherboard capturas de pantalla de la interfaz de Sakari, que muestran un símbolo «+» rojo donde los usuarios pueden agregar un número.

Al agregar un número, Sakari proporciona la Carta de autorización para que el usuario la firme. La LOA de Sakari dice que el usuario no debe realizar ningún comportamiento ilegal, de acoso o inapropiado con el servicio de mensajería de texto y el número de teléfono.

Pero como mostró Lucky225, un usuario puede simplemente registrarse con el número de otra persona y recibir sus mensajes de texto.

Esto es mucho más fácil que el secuestro de SMS y provoca las mismas vulnerabilidades de seguridad. Demasiadas redes utilizan SMS como mecanismo de autenticación.

Una vez que el pirata informático puede desviar los mensajes de texto de un objetivo, puede ser trivial piratear otras cuentas asociadas con ese número de teléfono. En este caso, el pirata informático envió solicitudes de inicio de sesión a Bumble, WhatsApp y Postmates, y accedió fácilmente a las cuentas.

No se centre demasiado en la empresa en certain en este artículo.

Pero Sakari es solo una empresa. Y hay muchos otros disponibles en esta industria que se pasa por alto.

Tuketu dijo que después de que un proveedor cortó su acceso, «nos tomó dos minutos encontrar otro».

Slashdot hilo.

Publicado el 19 de marzo de 2021 a las 6:21 h. •
comentarios



Enlace a la noticia first