每个月大约有四分之一的人口登录到Facebook。对于数百万使用电话号码保护帐户的人来说,这些用户很容易将其Facebook数据控制到黑客。
不仅是Facebook用户有可能以恢复访问的方式被发现自己拒之门外的风险。任何使用电话号码作为恢复访问的手段的帐户都是脆弱的 - 包括Gmail,Twitter,Yahoo Mail和其他人群。
用户帐户中的任何其他方法都是可以被黑客解锁的另一扇门。而且,如果用户选择安装按电话号码固定的门,则他们为黑客提供了比前门更容易的选择。
来自正面技术的研究人员发布了概念证明,该证明表明了如何将常见的缺陷用作在Facebook帐户上弹出锁的工具。该概念利用SS7(信号系统7)协议中的一个众所周知的缺陷,该协议是在70年代中期开发的,以管理通过PSTN(公共交换电话网络)交换的信息。
积极的技术以前表明如何利用SS7协议的缺陷来确定一个人的位置,仅在该个人的电话号码上工作。这次,研究公司已证明该协议可用于拦截用于帐户持有人的安全模式。
黑客装有目标电话号码,只需要单击Facebook的“忘记密码?”选项并输入受害者的电话号码。然后,使用SS7协议缺陷,黑客可以重定向Facebook生成的安全代码并将其登录到受害者的帐户中。
位置跟踪和Facebook Hacking并不是SS7漏洞的唯一用途。正面技术还发现,黑客可以使用利用来解码加密消息。这是因为安全消息传递应用程序与帐户恢复系统一样使用SMS身份验证。
“ SMS身份验证是WhatsApp,Facebook,Google,Viber等服务的主要安全机制之一,”国家积极技术。 “设备和应用程序通过SS7网络发送SMS消息以验证身份,并且攻击者可以轻松拦截这些消息并假定合法用户的身份。”
所有这一切的主要收获之一是,用户应该警惕使用其电话号码保护其帐户。这是该改善SS7安全性的事实。
