Uma falha de design no protocolo SS7, que permite que operadoras de celular possam conversar umas com as outras, foi explorada para ganhar acesso a contas bancárias na Alemanha. Devido a ela, os criminosos conseguiram burlar o sistema de autenticação em duas etapas, fazendo com que a mensagem SMS que contém o código de acesso fosse entregue para outro telefone.
Aplicativo do TechTudo: receba as melhores dicas e últimas notícias no seu celular
O SS7 (Signaling System 7) é um protocolo que deixa diferentes operadoras se comunicarem e compartilharem informações, como o monitoramento da posição de aparelhos, para garantir a entrega de mensagens SMS.
A comunicação, entretanto, não possui meios de confirmar a identidade de quem faz os pedidos de informação. Na prática, um hacker pode fingir ser o real destinatário do token de um banco, para usar essa informação na tentativa de acessar a conta.
No caso de hack ocorrido na Alemanha, os criminosos já possuíam outros dados bancários das vítimas, como nome de usuário, senha e número de telefone. A invasão da rede de telefonia foi usada para burlar a autenticação em duas etapas, um dos sistemas de segurança usados para confirmar a identidade da pessoa, mesmo que os outros dados fossem roubados.
A vulnerabilidade já era conhecida pelos especialistas, que há anos alertam para a possibilidade de um ataque que explore a falha do SS7. A correção, entretanto, nunca foi feita e um dos motivos para isso é a complexidade do problema. Como a quantidade de
“A solução para o SS7 envolve passos diferentes, não é só pedir algo e esperar até que ele apareça como que por mágica. Existe um grande número de regras de filtragem que precisam ser aplicadas”, explicou o cientista-chefe da Security Research Labs, Karsten Nohl, à revista Wired.
Outro cuidado necessário, segundo ele, é para evitar que estas medidas causem efeitos colaterais indesejados, como o bloqueio de comunicações legítimas. Essa solução também não é perfeita, mas é o que é possível fazer sem mudanças estruturais profundas, como a implementação de criptografia.
Como o problema ocorre na rede de telefonia, é quase impossível para o usuário comum se prevenir contra a falha. Entretanto, como o hack depende de os criminosos já possuírem outros dados de acesso, uma das recomendações é usar senhas fortes e únicas para garantir que elas não sejam descobertas. Outra dica é usar, se possível, serviços de autenticação em duas etapas que não sejam baseados em SMS, como aplicativos específicos, por exemplo.
O que fazer quando clicar em sites maliciosos pelo celular? Descubra no Fórum do TechTudo.
>>> Veja o artigo completo no TechTudo
Mais Artigos...
- FOREO Luna Mini 2: quatro dicas para descobrir se o aparelho é original
- Download de Minecraft Dungeons: veja requisitos para baixar no PC
- O que é um webinar?
- Ciclo de baús no Clash Royale: entenda como funciona
- Luzes de Natal podem prejudicar sinal de Wi-Fi, garante pesquisa
- PS Plus de novembro terá Bulletstorm e Yakuza de graça no PS4
- Quais cartas desencantar no Hearthstone? Veja dicas para montar decks
- Chrome corrige falha de segurança e usuários devem atualizar navegador
- Call of Duty: Warzone ultrapassa a marca de 75 milhões de jogadores
- Câmera tem lente flexível e espessura de uma folha de papel; conheça
- Project Cars na BGS 2015 roda a 4K em PC avaliado em mais de R$ 40 mil
- CS:GO: MIBR vence Astralis por 16-2 na BLAST Pro Series Miami
- Como ativar o Hello no Firefox 35 e fazer chamadas de áudio e vídeo
- Tablet do Google começa a ser vendido, mas Pixel C não chega ao Brasil
- Como enviar várias fotos de uma vez no Hangouts para iPhone?
- Veja qual é o comando para voar no CS:GO e como usar
- Lembra do Bitcoin? Como anda ele?
- Como enviar links do Facebook por Inbox no Messenger
- Dragon Ball Fighters é o novo jogo de luta para PS4, Xbox One e PC
- Como baixar e instalar o app da Netflix na smart TV da AOC