Uma falha de design no protocolo SS7, que permite que operadoras de celular possam conversar umas com as outras, foi explorada para ganhar acesso a contas bancárias na Alemanha. Devido a ela, os criminosos conseguiram burlar o sistema de autenticação em duas etapas, fazendo com que a mensagem SMS que contém o código de acesso fosse entregue para outro telefone.
Aplicativo do TechTudo: receba as melhores dicas e últimas notícias no seu celular
O SS7 (Signaling System 7) é um protocolo que deixa diferentes operadoras se comunicarem e compartilharem informações, como o monitoramento da posição de aparelhos, para garantir a entrega de mensagens SMS.
A comunicação, entretanto, não possui meios de confirmar a identidade de quem faz os pedidos de informação. Na prática, um hacker pode fingir ser o real destinatário do token de um banco, para usar essa informação na tentativa de acessar a conta.
No caso de hack ocorrido na Alemanha, os criminosos já possuíam outros dados bancários das vítimas, como nome de usuário, senha e número de telefone. A invasão da rede de telefonia foi usada para burlar a autenticação em duas etapas, um dos sistemas de segurança usados para confirmar a identidade da pessoa, mesmo que os outros dados fossem roubados.
A vulnerabilidade já era conhecida pelos especialistas, que há anos alertam para a possibilidade de um ataque que explore a falha do SS7. A correção, entretanto, nunca foi feita e um dos motivos para isso é a complexidade do problema. Como a quantidade de
“A solução para o SS7 envolve passos diferentes, não é só pedir algo e esperar até que ele apareça como que por mágica. Existe um grande número de regras de filtragem que precisam ser aplicadas”, explicou o cientista-chefe da Security Research Labs, Karsten Nohl, à revista Wired.
Outro cuidado necessário, segundo ele, é para evitar que estas medidas causem efeitos colaterais indesejados, como o bloqueio de comunicações legítimas. Essa solução também não é perfeita, mas é o que é possível fazer sem mudanças estruturais profundas, como a implementação de criptografia.
Como o problema ocorre na rede de telefonia, é quase impossível para o usuário comum se prevenir contra a falha. Entretanto, como o hack depende de os criminosos já possuírem outros dados de acesso, uma das recomendações é usar senhas fortes e únicas para garantir que elas não sejam descobertas. Outra dica é usar, se possível, serviços de autenticação em duas etapas que não sejam baseados em SMS, como aplicativos específicos, por exemplo.
O que fazer quando clicar em sites maliciosos pelo celular? Descubra no Fórum do TechTudo.
>>> Veja o artigo completo no TechTudo
Mais Artigos...
- Galaxy Gran Prime: como acessar os dados da bateria e economizar energia
- Editoras expandem mundo dos games em livros e HQs que dominam a Bienal
- LoL: veja habilidades da Rell, nova campeã do League of Legends
- Como impulsionar uma página do Facebook pelo celular
- Como deixar a foto redonda com o PicsArt
- Telas biodegradáveis são foco de pesquisa de cientistas brasileiros
- Próximo Passe de Elite do Free Fire: veja conteúdos de abril de 2021
- Zuckerberg se defende e diz que só 1% dos posts são hoaxes; entenda
- Como saber se a sua TV da Philco tem conversor digital integrado
- AnimEVO divulga os 19 jogos que terão torneios paralelos à EVO 2018
- Chips Intel e AMD têm falha que, se resolvida, pode diminuir performance
- Como apagar o histórico de ligações no iPhone
- Stories, do Instagram, agora está disponível na aba 'Explorar' da rede social
- Lentes para GoPro ajudam a produzir vídeos em 3D; conheça
- Redmi Note 9 vs Galaxy A51: compare preço e ficha técnica
- CS:GO: MIBR perde para Cloud9 e está fora do IEM Katowice 2020
- Como mudar o teclado e pesquisar em outro idioma no Google Tradutor
- Dia Mundial do Emoji: oito coisas que você não sabia sobre as carinhas
- LBFF Serie C 2021 revela lista de times participantes; confira
- Nova versão da placa de vídeo GTX 950 ajuda a economizar energia