安徒2016-06-16 18:19人评论0人阅读2144
Positiv e科技公司 的 安全 专家 近日证实: 通过 利用 SS7协议中的漏洞,仅 需要知道 一个手机号码便可实现入侵Facebook账户。
Positive科技公司的研究人员称,他们可以通过已知的手机号码入侵Facebook账户。
“研究人员已经证明他们可以仅通过一个手机号码与相关的SS7网络入侵技巧便控制了Facebook账户。SS7网络——电信的核心基础设施,但在近五年间不断被证实其非常脆弱。”福布斯报道称。
SS7(Signaling System 7,信令系统#7)是上世纪70年后期电信业开始使用的一组电信协议,可以使实现数据在网络中的平滑传输而不被泄露。
但近期发现的SS7信令系统中的安全问题可以被罪犯、恐怖分子机情报机构利用,如进行通信监视等。SS7协议允许手机运营商从信号塔收集用户设备的位置信息,并将其共享给其他运营商,这也就意味着通过SS7,运营商可以找到他们所有用户的所在位置。
Positive科技公司的研究小组也向我们演示了如何入侵WhatsApp与Telegram账户,同样是通过利用SS7协议中的漏洞。
安全专家们设计的攻击方式可以用于任何通过SMS服务验证用户账户的服务,如Gmail与Twitter。
入侵Facebook账户的实现过程:攻击者首先需要遵循“忘记账户”步骤,点击Facebook主页上的链接。Facebook会要求提供的手机号码或email地址以接收一个一次性密码(OTP),此时,黑客需要填写目标账户的合法手机号码。
攻击者此时会通过SS7漏洞劫持包含着一次性密码的SMS信息,通过这个一次性密码,便可以登录目标的Facebook账户了。
下面是研究人员的POC视频:
只要用户是通过手机号码注册成为Facebook用户并已进行授权,便可以实现入侵。
小编提示:
为了保护你的Facebook账户,请不要将你的手机号码链接至任何社交媒体网站,并且应当使用email地址作为密码恢复过程。
为保证安全,用户应始终启用双因素身份验证,并通过email而不是手机短信接收验证密码。
本文标签:安全资讯
上一篇
已经是第一篇了