Kaksivaiheinen tunnistus, jossa vahvistuksena käytetään tekstiviestiä, on hakkeroitu Saksassa.

Asiantuntijat ovat pitkään varoittaneet, että kaksivaiheinen tunnistus ei ole täysin turvallinen.

© Shutterstock

Rikolliset voivat hyödyntää kaksivaiheista vahvistusta

Matkaverkon viestijärjestelmän virhe tekee kaksivaiheisesta tunnistautumisesta turvattoman. Haavoittuvuutta on nyt hyödynnetty ensimmäisen kerran. .

keskiviikko 10. toukokuuta 2017 teksti Mathias Alsted Lund Flinck

Kirjoita käyttäjätunnuksesi ja salasanasi, vastaanota tekstiviestinä vahvistuskoodi ja naputtele se sille varattuun kenttään. Nyt on kirjauduttu turvallistakin turvallisemmin.

Niinhän sitä luulisi. Tekstiviestinä suljetussa verkossa välitettävä liikenne on kuitenkin haavoittuvainen, ja tekniikka sisältää useita väärinkäytösmahdollisuuksia.

Asiantuntijat ovat jo vuosia varoitelleet matkapuhelinviestinnän SS7-merkinantoliikenteen tietoturvaongelmista.

SS7-järjestelmää on rakennettu jo 70-luvulta lähtien, joten tekniikkaan on väkisinkin jäänyt tietoturvan kannalta pahoja puutteita.

Puutteet mahdollistavat suljetussa verkossa välittyvän viestiliikenteen seuraamisen, jolloin rikollinen voi päästä käyttäjän koneelle ja varastaa tietoja. Käyttäjällä ei ole mitään mahdollisuutta havaita, että hänen laitettaan vakoillaan.

Väärinkäytöshavainto Saksassa

väärinkäytösten hyödyntäminen vaatii erikoisosaamista, eikä SS7-aukkojen hyödyntäminen ole yleistä, mutta julkisuuteen on nyt tullut tapaus, jossa saksalaisia pankkiasiakkaita on joutunut SS7-verkon kautta tulleen hyökkäyksen uhreiksi. asiasta kertoi saksalainen teleoperaattori 02 Telefonica.

Rikolliset pääsivät verkkopankin käyttäjien tileille lähettämällä ensin huijausviestin, jolla käyttäjät saatiin väärennetylle sivustolle. Kun verkkopankki lähetti vahvistussalasanan tekstiviestinä, rikolliset ohjasivat tekstiviestit SS7-järjestelmän aukon kautta omiin puhelimiinsa ja varastivat rahat tileiltä.

Suomessa ei ole havaittu SS7-verkon kautta tehtyjä hyökkäyksiä, mutta joitakin epäilyjä mahdollisista väärinkäytöksistä kuitenkin on.

Matkaviestinpalveluita voi käyttää turvallisesti tavalliseen viestintään. Viestintävirasto on kuitenkin jo useita vuosia muistuttanut, että matkaviestinverkko ei sovellu arkaluontoisten asioiden viestintään siihen kohdistuvien tietoturvauhkien vuoksi.

Joillain palveluntarjoajilla, jotka käytävät kaksivaiheista suojausta, kuten esimerkiksi Google ja Microsoft, voi tekstiviestien sijasta käyttää erillistä Authenticator-tunnistautumissovellusta, jolla voi tilata kaksivaiheisessa kirjautumisessa käytettävän numerokoodin.

Ehkä sinua kiinnostaa...