Uma falha de design no protocolo SS7, que permite que operadoras de celular possam conversar umas com as outras, foi explorada para ganhar acesso a contas bancárias na Alemanha. Devido a ela, os criminosos conseguiram burlar o sistema de autenticação em duas etapas, fazendo com que a mensagem SMS que contém o código de acesso fosse entregue para outro telefone.
Aplicativo do TechTudo: receba as melhores dicas e últimas notícias no seu celular
O SS7 (Signaling System 7) é um protocolo que deixa diferentes operadoras se comunicarem e compartilharem informações, como o monitoramento da posição de aparelhos, para garantir a entrega de mensagens SMS.
A comunicação, entretanto, não possui meios de confirmar a identidade de quem faz os pedidos de informação. Na prática, um hacker pode fingir ser o real destinatário do token de um banco, para usar essa informação na tentativa de acessar a conta.
No caso de hack ocorrido na Alemanha, os criminosos já possuíam outros dados bancários das vítimas, como nome de usuário, senha e número de telefone. A invasão da rede de telefonia foi usada para burlar a autenticação em duas etapas, um dos sistemas de segurança usados para confirmar a identidade da pessoa, mesmo que os outros dados fossem roubados.
A vulnerabilidade já era conhecida pelos especialistas, que há anos alertam para a possibilidade de um ataque que explore a falha do SS7. A correção, entretanto, nunca foi feita e um dos motivos para isso é a complexidade do problema. Como a quantidade de
“A solução para o SS7 envolve passos diferentes, não é só pedir algo e esperar até que ele apareça como que por mágica. Existe um grande número de regras de filtragem que precisam ser aplicadas”, explicou o cientista-chefe da Security Research Labs, Karsten Nohl, à revista Wired.
Outro cuidado necessário, segundo ele, é para evitar que estas medidas causem efeitos colaterais indesejados, como o bloqueio de comunicações legítimas. Essa solução também não é perfeita, mas é o que é possível fazer sem mudanças estruturais profundas, como a implementação de criptografia.
Como o problema ocorre na rede de telefonia, é quase impossível para o usuário comum se prevenir contra a falha. Entretanto, como o hack depende de os criminosos já possuírem outros dados de acesso, uma das recomendações é usar senhas fortes e únicas para garantir que elas não sejam descobertas. Outra dica é usar, se possível, serviços de autenticação em duas etapas que não sejam baseados em SMS, como aplicativos específicos, por exemplo.
O que fazer quando clicar em sites maliciosos pelo celular? Descubra no Fórum do TechTudo.
>>> Veja o artigo completo no TechTudo
Mais Artigos...
- Fifa 16 tem Kaká e Oscar entre os melhores meias brasileiros
- Como usar o Galaxy J2 Prime como roteador Wi-Fi
- Cinco easter eggs 'brasileiros' em jogos e franquias famosas
- Google Maps no Android: veja como usar novos recursos da primeira tela
- Lumia 950, Surface, Windows 10: o que esperar do evento da Microsoft
- TV Globo lança app Meu Ibira para homenagear os 60 anos do Parque Ibirapuera
- TV Digital: confira lista com as melhores antenas para captar o sinal
- Como seguir o Papai Noel do Google até o Natal no Chrome e no Android
- Como compartilhar posts do Instagram pelo PC com Windows 10
- Resumo da semana: Battlefield e Rise of the Tomb Raider foram destaques
- Saiba os comandos do Prompt ‘certos’ para desvendar o erro de conexão
- Among Us 2 é cancelado para focar em melhorias para o primeiro game
- Vibe C2 vs Vibe K5: compare os celulares da Lenovo por menos de R$ 900
- Instax Mini 8 ou Instax Wide 300; veja em qual câmera instantânea investir
- 'Bug do coach' no CS:GO: entenda escândalo e dezenas de banimentos
- Galaxy Note 6 pode vir com memória interna de 256 GB e novo USB-C
- Google Street View ganha imagens da Estação Espacial Internacional ISS
- Samurai Shodown será lançado no Brasil com legendas em português
- Notebook Dell Inspiron ganha versão atualizada; veja ficha técnica e preço
- Como usar o God Mode para encontrar mais sugest?es de t?tulos no Netflix