Visste du har mobilnettet er bygd opp på en måte som gjør det enkelt for hackere å snuse i informasjonen som sende og mottas og på den måten også ta over ditt digitale liv?
Store hull
De store teknologiselskapene har i en årrekke hauset opp det faktum at du bør bruke to-faktor-pålogging, altså at om du logger på tjenesten på en ny enhet, så må du først taste inn en kode som sendes mobil-nummeret ditt.
Det høres jo veldig sikkert ut, for mobilen har du alltid med deg, og ingen andre kan jo lese meldingene dine? Feil.
For hva gjør hackerne?
Annonse
De utnytter noe som heter “Signalling System No. 7 (SS7) – utviklet i 1975“. SS7-feil har vært åpne i mange år.
SS7-systemet brukes i utgangspunktet på en slik måte at telekomselskapene kan kommunisere med hverandre, blant annet når du “roamer” med mobilen i utlandet.
Telenor ble rammet av signalfeil
SS7-feilen kan også nyttegjøres i Europa, og Telenor har tidligere hatt problemer:
“I februar 2016 så ble 30 prosent av nettverket til den største mobil-operatøren i Norge, Telenor, ustabilt grunnet “unormale SS7-signaler fra andre Europeiske-operatører,” ifølge Wikipedia.
Enkelt når man først kan hacke SS7
Så det hackere kan gjøre er å hanke inn SMS-meldinger, samtaler og lokasjonsdata grunnet hullene i SS7.
Whitehat-hackerne hos Positive Technologies demonstrerte hvordan de fant en epost-konto med kun et mobil-nummer.
Deretter ba de om nytt passord og sendte denne to-faktor-engangsmeldingen til offerets mobil. Passordet ble snappet opp med å bruke SS7-hullet. Og på den måten kunne de endre passordet til hva de måtte ønske og hadde full kontroll over Gmail-kontoen. Såre enkelt når man først kan snuse på SMS-meldinger, altså.
Veldig skummelt
Denne kontoen hadde de sett seg ut da den hadde tilgang til Coinbase, den digital markedsplassen for digital-valuta. De ba derfor om nytt passord til denne tjenesten også, noe de selvsagt kunne hente ut lett fra offerets epost de allerede hadde tilgang til.
Problemet stopper selvsagt ikke med Google-tjenester eller med Bitcoin-kontoer, men absolutt alle tjenester som bruker SMS som ledd i sikkerhetssystemet.
Sikrere løsninger er engangskoder generert lokalt, som blant annet brukes når man logger på banker, men heller ikke dette er optimalt da man må ta med seg en ekstra dings.
Annonse
