Bizimle İletişime Geç

Wblogy

Hackerlar, Bitcoin Cüzdanlarını Boşaltmak İçin SS7 SMS 2FA aracılığıyla Açıkları Bulmaya Çalışıyorlar

Bitcoin

Hackerlar, Bitcoin Cüzdanlarını Boşaltmak İçin SS7 SMS 2FA aracılığıyla Açıkları Bulmaya Çalışıyorlar

Hackerlar, Bitcoin Cüzdanlarını Boşaltmak İçin SS7 SMS 2FA aracılığıyla Açıkları Bulmaya Çalışıyorlar

Çoğu Popüler Cüzdan Sitelerinin kullandığı kullanıcıların hesaplarını yüksek seviyede koruma metodu olarak 2FA ( İki Faktörlü Doğrulama ) kullanıyor.

2FA ‘daki Asıl Sorun

2FA ile ilgili sorun, kullanıcıya metin yoluyla bir kod gönderen SMS tabanlı 2FA ile bir kullanıcının belirli bir fiziksel aygıta gönderilen bir itme doğrulamasına yanıt vermesini gerektiren 2FA arasında çoğunlukla bir ayrım yapılmamasıdır. Positive Technologies’teki güvenlik araştırmacıları, eski araştırmacıların kötü haber olduğu bir başka nedeni ortaya koydu.

Bir Coinbase hesabı ile ilişkili Gmail hesabını tanımladıktan sonra, telefon şebekelerinin metin tabanlı aramaları ve kullanıcılar arasındaki aramaları SMS tabanlı mesajlaşma uygulamalarını engellemeye olanak tanıyan uluslararası bir telekom protokolü olan Signaling System 7’de (SS7) bilinen güvenlik açıklarını kullanabildiler doğrulama kodunu komuta etmek için, teorik olarak içinde saklanan tüm şifrelemeyi boşa harcıyor. Aşağıda demo videoda görebileceğiniz gibi, gerekli araştırmacıların hepsi bir kullanıcının Gmail hesabıyla ilgili bir isim, telefon numarası ve eğitimli bir tahmin yapmıştı.

Positive Technologies Telekomünikasyon Güvenliği sorumlusu Dmitry Kurbatov, “SS7’ye özgü özellikleri kullanmak, SMS’i engellemenin mevcut birkaç yolundan biridir” dedi. “Maalesef, bir kerelik şifre göndermek için SMS kullanmayı seçmek hala mümkün değil. Bu, en evrensel ve kullanışlı iki faktörlü kimlik doğrulama teknolojisidir. ”

Güvenlik topluluğunun uyarılarına rağmen, bu özel Hack sadece varsayımsal değil, bu yılın başında Alman bankalarına büyük zarar verdi.

İki faktörlü kimlik doğrulama türleri arasındaki fark ince görünebilir, ancak tekrarlamaya değer. Kullanıcılar cihazlardaki metin mesajlarını (iMessage, Google Voice vb. Yoluyla) kontrol edebildiğinden, metin tabanlı 2FA potansiyel saldırı yüzeyini yayar. Bir amaç için üretilmiş bir akıllı telefon uygulaması veya ayrı bir kimlik doğrulama cihazı gibi bir yere gönderilen bir kod yerine, kendi güvenlik açıklarına sahip olabilecek bir dizi hizmete dağıtılır. Gerçekten iki faktörlü kimlik doğrulama, iyi niyet, tek bir yere, yani elinizde tuttuğu cihaz için bir doğrulama istemi gönderir. SMS tabanlı 2FA sadece SS7’deki teknik boşluklardan yararlanabilecek korsanlara değil, aynı zamanda bir Verizon çalışanı etrafında konuşmak isteyen herhangi bir sosyal mühendise karşı savunmasızdır.

Tekrarlanması gereken, SS7 çevresinde bilinen güvenlik kaygılarıdır. Mart ayında, Oregon Senatör Ron Wyden ve Kaliforniya’daki en savunmacı teknoloji üyelerinden Kaliforniya Temsilcisi Ted Lieu, Vatan Güvenliği Departmanına, ABD hükümetinin tehdide karşı savaşmak ve varlığı konusunda bilinçlendirmek için ne yaptıklarını öğrenmek için bir mektup yazdı. . Gözlem amacıyla SS7’yi aktif olarak kullanan herhangi bir hükümetin alarm çalarken ayaklarını sürükleyebileceğini unutmamak önemlidir. Tabii ki, SS7 sadece SMS tabanlı 2FA seçeneği sunan herhangi bir hizmeti etkileyebilecek saldırılara karşı Coinbase’i açmaz.

Kurbatov TechCrunch’a yaptığı açıklamada “Bu hack şifre kurtarma için SMS kullanan herhangi bir kaynak için çalışacak” dedi. “Bir hacker, hesaba erişim elde etmek için şifre kurtarma işleminin aynısını mantıksal olarak tekrarlayabiliyorsa, saldırı da işe yarar.”

Bununla başa çıkmak için Kurbatov, kullanıcıların Google Voice gibi bir şey aracılığıyla çevrimiçi hizmetler için ayrı bir telefon numarasına sahip olduklarını ileri sürüyor. Bunun ötesinde, SS7 tabanlı bir saldırıya karşı kendilerini koruyabilecek pek çok tüketici yok, Duo veya Google’ın uygulama içi özelliği gibi uygulamaya dayalı 2FA yöntemlerini seçebiliyorlar ve tüm şirketlerin SMS dışı bir 2FA seçeneği sunmasını talep edebiliyorlar kullanıcılara oldukları gibi olduklarını kanıtlamalarına yardımcı olmak için. Evrensel standart haline gelene kadar, bu güvenlik açığının güvenlik araştırmacıları ve bilgisayar korsanlarının dikkatini çekmesini bekleyiniz.

 

 

 

 

Kaynak : TechCrunch

Teknoloji ve internetin hızlı değişimine ayak uydurmaya çalışan Türkiye ve Dünya gündemini takip eden teknoloji sever bir kişi

Yorum yazmak için TIKLA

Bir Cevap Yazın

Daha fazla Bitcoin

En Üste