Riċerkaturi tas - sigurtà minn 'Teknoloġiji Pożittivi' wera kemm hemm bżonn li jiġi rranġat b'mod urġenti difett mifrux fin-netwerk globali tat-telekomunikazzjonijiet. F'dimostrazzjoni bil-vidjo, huma wrew kif iċ-ċiberkriminali jistgħu jisfruttaw l-internet Difett SS7 biex taċċessa messaġġi li fihom kodiċi ta 'awtentikazzjoni u jisirqu l - fondi kollha tiegħek mill - Bitcoin kartieri.
Ir-riċerka dwar it-Teknoloġiji Pożittivi wriet li huma biss kellhom bżonn l-ismijiet u l-kunjomijiet u l- numru tat-telefon tad-detentur tal-kont bitcoin biex jikkomprometti l-kont tagħhom. Waqt li wrew l-attakk, ir-riċerkaturi Pożittivi l-ewwel marru Gmail biex issib kont tal-email b’numru tat-telefon biss. Wara li kisbu l-indirizz tal-Gmail u n-numru tat-telefon tal-mira, huma bdew talba għal reset tal-password għall-kont, li kien jinvolvi li jintbagħat kodiċi ta 'awtorizzazzjoni ta' darba biex jintbagħat lin-numru tat-telefon tal-mira.
Ir-riċerkaturi Pożittivi mbagħad setgħu interċetta l-messaġġi SMS li jkun fih il-kodiċi 2FA billi jisfrutta difetti fid-disinn magħrufa fl-SS7 u jikseb aċċess għall-kont tal-Gmail. Minn hemm, ir-riċerkaturi marru direttament għall-kont Coinbase li kien irreġistrat mal-kont tal-Gmail kompromess u mibdi reset ieħor tal-password, din id - darba, għall - kartiera Coinbase tal-vittma. Imbagħad daħlu fil-kartiera u żvujtawh minn kripto-flus kontanti.
It-Teknoloġiji Pożittivi qasmu wkoll vidjo ta ’prova ta’ kunċett, li juri kemm hu faċli li tidħol fi Kartiera bitcoin sempliċement billi tinterċetta messaġġi ta 'test fi tranżitu.
Ara kif Hackers Hacked fil-Kartiera u l-Fond tas-Serq tal-Bitcoin
https://www.youtube.com/watch?time_continue=7&v=mLh1Nmqa6OM
Mhux biss kartieri tal-kripto-muniti, din id-difett ipoġġi l-kontijiet bankarji u tal-midja soċjali tiegħek f'riskju. "Dan il-hack jaħdem għal kwalunkwe riżorsa - munita reali jew munita virtwali - li tuża SMS għall-irkupru tal-password," qal ir-riċerkatur Pożittiv Dmitry Kurbatov.
Din il-kwistjoni tidher qisha vulnerabbiltà f'Coinbase, iżda mhix. Id-dgħjufija vera tirrisjedi fis-sistema ċellulari nnifisha.
"Din hija vulnerabbiltà fin-netwerks mobbli, li fl-aħħar mill-aħħar tfisser li hija kwistjoni għal kulħadd, speċjalment servizzi li jiddependu fuq in-netwerk mobbli biex jibagħtu kodiċijiet tas-sigurtà," Dmitry Kurbatov jgħid.
Maħluq fis-snin tmenin, Sistema ta 'Sinjalazzjoni 7 (SS7) huwa protokoll ta 'sinjalar tat-telefonija li jagħti poter lil aktar minn 800 operatur tat-telekomunikazzjoni madwar id-dinja, biex jgħaqqad u jiskambja dejta, bħal sejħiet tar-rotta u testi ma' xulxin, li jippermetti r-roaming u servizzi oħra.
Ir-riċerkaturi ilhom is-snin iwissu dwar kwistjonijiet kritiċi bl-SS7 li jistgħu jippermettu lill-hackers jisimgħu telefonati privati u jaqraw messaġġi fuq skala potenzjalment vasta, minkejja l-aktar encryption avvanzat użat min-netwerks ċellulari. Fl-2014, ġie rrappurtat li Vulnerabbiltà SS7 jista 'jintuża minn aġenziji governattivi u atturi mhux statali bl-istess mod biex isegwu l-movimenti ta' utenti tal-mowbajl minn kwalunkwe post madwar id-dinja bi preċiżjoni ta '70%.
Aktar kmieni din is-sena, iċ-ċiberkriminali użaw din id-difett fit-tfassil fl-SS7 biex jattakkaw il-kontijiet bankarji tal-vittmi u jagħmlu tranżazzjonijiet finanzjarji billi jinterċettaw kodiċi ta 'awtentikazzjoni b'żewġ fatturi (OTP) mibgħut mill-banek lill-klijenti tagħhom u jderieġuh lilhom infushom.
Allura, sakemm l-industrija tat-telekomunikazzjoni ma tieħu passi biex tagħmel SS7 aktar sigur, l-utenti għandhom bżonn jieħdu passi waħedhom. Evita li tuża awtentikazzjoni b'żewġ fatturi permezz ta 'testi SMS biex tirċievi kodiċijiet OTP. Minflok, isserraħ fuq ċwievet tas-sigurtà bbażati fuq il-kriptografija bħala t-tieni fattur ta 'awtentikazzjoni. Tista 'tuża għodda bħal Google Awtentikatur, pront tal-Google, jew ċavetta tas-sigurtà għal sigurtà żejda.
Niżżel Tagħna Crypto News App Android U Qatt Taqbeż Kwalunkwe Aġġornament.