Hoe te hacken Facebook met slechts een telefoonnummer

Het is mogelijk om compromissen te sluiten Facebook-accounts met behulp van iets meer dan een telefoonnummer, hebben de onderzoekers gewaarschuwd.

Een security team van Positive Technologies beweert dat als je weet dat het telefoonnummer van uw beoogde slachtoffer, kunt u breken in hun gekoppelde Facebook-account dankzij beveiligingsfouten in het SS7-protocol.

Zoals gerapporteerd door Forbes, is een segment van de kern telecommunicatie-infrastructuur die kwetsbaar exploiteren voor de laatste halve decennium heeft verlaten.

SS7 is een protocol ontwikkeld in 1975 dat wereldwijd wordt gebruikt om te definiëren hoe netwerken in een openbaar geschakeld telefoonnetwerk (PSTN) informatie uitwisselen over een digitaal signaalnetwerk. Echter, een netwerk op basis van SS7 zal standaard, vertrouwen berichten verzonden over het – het maakt niet uit waar het bericht vandaan komt.

Het lek bevindt zich binnen het netwerk en hoe SS7 omgaat met deze verzoeken, in plaats van een insect op Facebook’s platform. Alle cyberattackers hoeft te doen is het volgen van de ‘Wachtwoord account? ” procedure door middel van Facebook’s homepage, en toen we vroegen om een ​​telefoonnummer of e-mailadres, bieden de legitieme telefoonnummer.

Zodra Facebook langs een SMS-bericht met de one-time code wordt gebruikt om toegang te krijgen tot het account heeft verzonden, kan de SS7 veiligheidslek dan worden benut om deze code af te leiden naar eigen mobiele apparaat van de aanvaller, die hun toegang verleent tot rekening van het slachtoffer.

Positieve Technologies leverde een proof-of-concept video (PoC) het aantonen van de aanval, die hieronder kunnen worden bekeken

Het slachtoffer moet hun telefoonnummer naar het doel hebt gekoppeld, maar als het lek wordt gevonden binnen het telecommunicatienetwerk en niet online domeinen, zal deze aanval ook werken tegen een web dienst die dezelfde account invorderingsprocedure gebruikt – zoals Gmail en Twitter.

Twee stappen wordt steeds meer en meer van cruciaal belang, maar tot kwetsbaarheden in telecomdiensten zijn vastgesteld, het gebruik van e-mail recovery methoden kan de beste manier om te gaan zijn – evenals het gebruik van zeer sterke, complexe wachtwoorden voor alle belangrijkste ‘hub’ e-mailaccounts u gebruikt om andere online diensten te handhaven.

Witte Huis benoemt eerste Federal Chief Information Security Officer

Pentagon bekritiseerd voor cyber-rampenbestrijding door de overheid waakhond

Chrome etikettering HTTP-verbindingen als niet-beveiligde start

De Hyperledger Project groeit als gangbusters

De kosten van ransomware aanvallen: 1000000000 $ dit jaar; Chrome etikettering HTTP-verbindingen als niet-beveiligde start; de Hyperledger Project groeit als gangbusters; Nu kunt u een USB-stick die alles vernietigt op zijn pad te kopen

Veiligheid; Witte Huis benoemt eerste Federal Chief Information Security Officer, veiligheid, Pentagon bekritiseerd voor cyber-rampenbestrijding door de overheid waakhond, veiligheid, Chrome etikettering HTTP-verbindingen beginnen als niet-veilige, veiligheid, de Hyperledger Project groeit als gangbusters