Chiar și serviciile bine-cunoscute, utilizate de milioane de persoane, expun date sensibile. Conform unor cercetări recent publicate, site-urile care autentifică utilizatorii prin linkuri și coduri trimise în mesaje text pun în pericol intimitatea acestora, lăsându-i vulnerabili la escrocherii, furt de identitate și alte infracțiuni.
Linkurile sunt trimise persoanelor care caută o varietate de servicii, inclusiv cotații de asigurare, oferte de muncă, recomandări pentru îngrijitori de animale și meditatori. Pentru a evita complicatiile colectării de nume de utilizator și parole — și pentru ca utilizatorii să le creeze și să le introducă — multe dintre aceste servicii cer în schimb numărul de telefon mobil la înregistrarea unui cont. Apoi, serviciile trimit linkuri de autentificare sau coduri prin SMS când utilizatorii doresc să se autentifice.
Un studiu publicat săptămâna trecută a identificat peste 700 de puncte terminale care livrau astfel de texte în numele a peste 175 de servicii, punând în pericol securitatea și intimitatea utilizatorilor. Una dintre practicile care pune în pericol utilizatorii este utilizarea linkurilor ce pot fi ușor enumerate, adică escrocii le pot ghici modificând pur și simplu token-ul de securitate, care de obicei apare la dreapta unui URL. Modificând incremental sau ghicind la întâmplare token-ul — de exemplu, schimbând 123 în 124 sau ABC în ABD etc. — cercetătorii au reușit să acceseze conturi ale altor utilizatori. De acolo, cercetătorii au putut vedea detalii personale, cum ar fi aplicații de asigurare completate parțial.
În alte cazuri, cercetătorii ar fi putut efectua tranzacții sensibile pretinzând că sunt alt utilizator. Alte linkuri utilizau combinații de token-uri atât de limitate încât erau ușor de spart prin forță brută. Alte exemple de practici defectuoase includeau linkuri care permiteau atacatorilor care obțineau acces neautorizat să acceseze sau să modifice datele utilizatorilor fără altă autentificare decât accesul prin clic pe un link trimis prin SMS. Multe dintre linkuri oferă acces la conturi ani de zile după ce au fost trimise, crescând astfel riscul accesului neautorizat.
„Susținem că aceste atacuri sunt ușor de testat, verificat și executat la scară largă”, au scris cercetătorii, de la universitățile din New Mexico, Arizona, Louisiana și firma Circle. „Modelul de amenințare poate fi realizat folosind hardware de consum și cunoștințe de bază până la intermediare în securitatea web.”
Mesajele SMS sunt trimise necriptate. În anii trecuți, cercetătorii au descoperit baze de date publice cu texte trimise anterior care conțineau linkuri de autentificare și detalii private, inclusiv numele și adresele oamenilor. Una dintre aceste descoperiri, din 2019, includea milioane de mesaje text trimise și primite de-a lungul anilor între o singură afacere și clienții săi. Aceasta includea nume de utilizator și parole, aplicații financiare universitare și mesaje de marketing cu coduri de reducere și alerte de locuri de muncă.
În ciuda insecurității cunoscute, practica continuă să înflorească. Din motive etice, cercetătorii din spatele studiului nu au avut cum să captureze adevărata sa amploare, deoarece ar fi necesitat ocolirea controalelor de acces.
securitate cibernetică, SMS, autentificare, furt de identitate, escrocherii, linkuri de autentificare, protecția datelor, vulnerabilitate cibernetică, cercetare științifică, universități americane, hardware de consum, securitate web, intimitate digitală, acces neautorizat, forță brută, token de securitate, mesaje text necriptate, baze de date publice, etică în cercetare, riscuri cibernetice
Sursa: Ars Tehnica Technology
Poll: Care dintre următoarele măsuri credeți că ar trebui să fie implementate pentru a crește securitatea autentificării utilizatorilor online prin intermediul mesajelor SMS?
Revista “Ştiinţă şi Tehnică“, cea mai cunoscută şi longevivă publicaţie de popularizare a ştiintelor din România
Leave a Reply