Многие годы было известно, что ключевой протокол, позволяющий глобальным сотовым сетям взаимодействовать друг другом, имеет уязвимости, но на деле никто не воспринимал этого всерьез.

И хакеры, и политические деятели не один год предупреждали общественность, что дефекты в системе маршрутизации звонков и текстовых сообщений, известной как Signaling System 7 (SS7, по-русски ОКС-7), можно использовать для перехвата и перенаправления вызовов и текстовых сообщений, что позволяет хакерам прослушивать почти любой телефон в мире.

Как сообщает немецкая газета Süddeutsche Zeitung, хакеры финансового профиля сегодня начали использовать это слабое место для перехвата SMS, в которых содержатся коды (одноразовые пароли) двухэтапной аутентификации для клиентов банков, чтобы взламывать и опустошать их банковские счета.

Это, вероятно, первое известие об использовании уязвимости SS7 не для демонстративных целей, а в реальном мире реальными злоумышленниками.

Как пишет газета, взломщики могут попытаться проникнуть в банковский аккаунт физического лица. Имея на руках его имя пользователя и пароль (возможно, добытые раньше в результате другой атаки), они могут войти в онлайновый банковский аккаунт своей жертвы. Их дальнейшим действиям препятствует двухэтапная аутентификация, при которой на привязанное к аккаунту пользовательское устройство (обычно телефон) высылается код или происходит звонок, что гарантирует невозможность использования аккаунта посторонними лицами.

Однако перехватив голосовое или текстовое сообщение при помощи аппаратуры, которая, по информации немецкой газеты, продается примерно за 1000 евро, взломщики могут использовать захваченный код для полного доступа к банковскому аккаунту и по собственному усмотрению перевести деньги на любой другой счет.

И эти уязвимости никем не исправляются — возможно, из-за их предполагаемого низкого риска для пользователей по сравнению с высокими затратами и трудностями их исправления.

Это нельзя считать терпимым, поскольку сегодня под риском могут оказаться любые области применения двухэтапной аутентификации на базе текстовых сообщений — к примеру, аккаунты социальных сетей, банковские логины или учетные записи электронной почты.

«Аккаунты любых людей, защищенные двухэтапной аутентификацией на базе текста, в том числе банковские аккаунты, находятся под потенциальным риском, пока FDC (Федеральная комиссия по связи США) и телекоммуникационная индустрия не исправят разрушительный дефект безопасности SS7», — заявил американский конгрессмен-республиканец Тед Лью. Он является одним из немногих членов Конгресса с образованием по компьютерным наукам и тем, кто в 2015 г. позволил хакерам прослушать его телефон в передаче CBS «60 минут».

«И FDC, и телекоммуникационная индустрия знают, что хакеры могут перехватывать наши текстовые сообщения и телефонные разговоры, зная лишь номер сотового телефона», — добавил он, убеждая Конгресс провести немедленные слушания по этому вопросу.

Еще в прошлом году Национальный институт стандартов и технологии (NIST) заявил, что не одобряет (хотя полностью не отвергает) свою прежнюю рекомендацию по использованию аутентификации на базе текстовых сообщений, поскольку она оказалась менее безопасной, чем другие формы двухэтапной аутентификации, такие как приложения типа Google Authenticator и Authy, в которой для пересылки одноразовых кодов используется сквозное шифрование.

Проблема в том, что многие приложения не предоставляют собственной поддержки кодов двухэтапной аутентификации. Однако вы можете посетить сайт twofactorauth.org, который показывает какие сайты, сервисы и компании поддерживают софтверные токены.

Если вы еще не отважились испытать себя в сфере двухэтапной аутентификации, стоит этим заняться.