Artykuł

Badacze z Princeton stwierdzili, że niektórzy operatorzy pomogą przestępcom ukraść Twoją kartę SIM

protection click fraud

Naukowcy z Princeton University zastanawiali się, czy wiadomości tekstowe SMS są bezpieczną metodą uwierzytelniania do wykorzystania jako jeden z czynników w konfiguracji uwierzytelniania dwuskładnikowego (2FA). Odpowiedź okazała się być głośne nie, zwłaszcza gdy zespół zaczął atakować plany prepaid na największych operatorach komórkowych.

Jeśli atakujący może uzyskać kontrolę nad numerem telefonu, przełączając konto ofiary na kartę SIM atakującego, atakujący może następnie przejąć proces weryfikacji wykorzystujący SMS-y, odbierając uwierzytelniające wiadomości tekstowe zamiast ofiary. W dziesięciu na dziesięć prób kradzieży numerów od klientów przedpłaconych w AT&T, Verizon i T-Mobile badacze byli w stanie przenieść konto na własną kartę SIM. Próby na Tracfone i US Mobile zakończyły się mniejszym sukcesem, ale ci przewoźnicy nie byli całkowicie bezpieczni.

Verizon oferuje Pixel 4a za jedyne 10 USD miesięcznie na nowych liniach Unlimited

W niektórych przypadkach badacze dzwonili do próby kradzieży tożsamości użytkownika, a przedstawiciel obsługi klienta kierował do prawidłowych odpowiedzi dotyczących weryfikacji tożsamości lub po prostu dały atakującemu dostęp, nawet po tym, jak zgadł nieprawidłowo. Naukowcy odkryli ogromną niespójność, sporadyczne błędy w zweryfikowaniu tożsamości w ogóle i ogólnie wystarczająco słabe zasady bezpieczeństwa, aby zalecać unikanie wiadomości SMS jako metody uwierzytelniania hasła całkowicie. Ponieważ badanie zostało ujawnione przewoźnikom w zeszłym roku, T-Mobile poinformował, że zaktualizował swoje metody weryfikacji, aby uniknąć mniej bezpiecznych kontroli.

Raport sugeruje przewoźnikom porzucenie wszystkich kiepskich, niepewnych metod, które są obecnie w użyciu, i przejście na bezpieczne metody takie jak hasło do konta / PIN lub przynajmniej jednorazowy kod wysyłany bezpośrednio do użytkownika SMS-em lub e-mail. Wiele z obecnych form identyfikacji, takich jak adres pocztowy, data urodzenia i niektóre informacje o karcie kredytowej, można znaleźć w publicznych rejestrach. Informacje identyfikujące, takie jak data ostatniej płatności ofiary lub numery telefonów osób, które niedawno dzwoniły, mogą zostać zmanipulowane lub sfałszowane w celu oszukania przedstawicieli. Zaleca się również, aby strony internetowe zaprzestały używania wiadomości SMS w ramach schematu uwierzytelniania wieloskładnikowego.

Uwierzytelnianie dwuskładnikowe: wszystko, co musisz wiedzieć

Czy słuchałeś podcastu Android Central z tego tygodnia?

Android Central

Co tydzień podcast Android Central Podcast przedstawia najnowsze wiadomości techniczne, analizy i gorące ujęcia ze znajomymi współgospodarzami i gośćmi specjalnymi.

  • Subskrybuj w Pocket Casts: Audio
  • Subskrybuj w Spotify: Audio
  • Subskrybuj w iTunes: Audio

Możemy otrzymać prowizję za zakupy za pomocą naszych linków. Ucz się więcej.

To najlepsze bezprzewodowe słuchawki douszne, które możesz kupić za każdą cenę!
Czas przeciąć przewód!

To najlepsze bezprzewodowe słuchawki douszne, które możesz kupić za każdą cenę!

Najlepsze bezprzewodowe słuchawki douszne są wygodne, świetnie brzmią, nie kosztują zbyt wiele i łatwo mieszczą się w kieszeni.

Wszystko, co musisz wiedzieć o PS5: data premiery, cena i nie tylko
Następne pokolenie

Wszystko, co musisz wiedzieć o PS5: data premiery, cena i nie tylko.

Sony oficjalnie potwierdziło, że pracuje nad PlayStation 5. Oto wszystko, co o nim wiemy.

Nokia wprowadza na rynek dwa nowe budżetowe telefony z Androidem One poniżej 200 USD
Nowe Nokie

Nokia wprowadza na rynek dwa nowe, budżetowe telefony z Androidem One poniżej 200 dolarów.

Nokia 2.4 i Nokia 3.4 to najnowsze dodatki do budżetowej linii smartfonów HMD Global. Ponieważ oba są urządzeniami z Androidem One, mają gwarancję otrzymania dwóch głównych aktualizacji systemu operacyjnego i regularnych aktualizacji zabezpieczeń przez okres do trzech lat.

Oto najlepsze etui do Galaxy S10
Najlepsze, co możesz dostać

Oto najlepsze etui do Galaxy S10.

Nawet jeśli nie jest to najnowszy telefon, Galaxy S10 jest jednym z najładniejszych i najbardziej śliskich telefonów na rynku. Upewnij się, że wyposażasz go w jedną z tych walizek.

instagram story viewer