Alle tre store amerikanske luftfartsselskaber (T-Mobile, AT&T og Verizon) har alle rettet et smuthul, der tillod eksterne tjenester at omdirigere SMS-beskeder.
Du har måske læst et par nyheder fra et par uger tilbage om en skræmmende form for sms-kapring, der også var skræmmende let at begå af nogen. Dybest set, at bruge en tjeneste fra et firma kaldet Sakari, beregnet til at hjælpe virksomheder med at gøre det SMS marketing, kan give dig mulighed for at overtage nogens nummer og omdirigere deres SMS-beskeder til dig: ingen spørgsmål spurgte, får offeret ikke engang en notifikation, og tjenestens billigste plan, der giver dig mulighed for at gøre dette, er bare $16. Denne rapport fra Bundkort dukkede op et gigantisk smuthul: Hvis du bruger noget, der bruger tekstbeskeder som en godkendelsesmetode, var alt, hvad en hacker skulle gøre, at betale $16 for at omdirigere dine beskeder. Du kan dog nu slappe af, da T-Mobile, AT&T og Verizon alle har rettet dette smuthul.
Dette blev annonceret af Aerialink (via
Bundkort), et kommunikationsfirma, der hjælper med at rute tekstbeskeder, i går. Selve meddelelsen lyder, at "Nummerregistret har meddelt, at trådløse operatører ikke længere vil understøtte SMS eller MMS-tekst aktiverer på deres respektive trådløse numre," og tilføjer, at denne ændring er branchedækkende og påvirker alle SMS-udbydere i det amerikanske økosystem, inklusive alle tre store amerikanske luftfartsselskaber: AT&T, T-Mobile og Verizon, samt operatører, der er afhængige af disse tre selskabers celle infrastruktur.Den officielle meddelelse fortsætter derefter med at tilføje, at disse tre virksomheder har "genvundet overskrevne tekst-aktiverede trådløse numre branchedækkende", og at som et resultat "trådløse numre, der var blevet tekstaktiveret som BYON, ikke længere dirigerer beskedtrafik gennem Aerialink Gateway," med henvisning til "Bring Your Own Number"-funktionen, som de fleste operatører har for at tillade dig at skifte mobiludbyder uden at få en nyt telefonnummer. Det betyder, at trådløse BYON-numre ikke længere dirigerer tekstbeskeder gennem Aerialink Gateway. De fleste af disse ændringer betyder også, at virksomheder, der leverer disse omdirigeringstjenester som Sakari, sandsynligvis ikke længere vil være i stand til at levere disse tjenester normalt.
Opdagelsen af dette smuthul kræver en seriøs omarbejdning af, hvordan SMS-tekstbeskeder rutes gennem udbydere, og vi er glade for at se, at dette problem bliver løst. Alligevel er den bedste fremgangsmåde ikke at stole på SMS som din gå-til-to-faktor-godkendelsesmulighed: apps, der giver engangsadgangskoder såsom Authy og Google Authenticator og endnu mere sikre metoder såsom hardwarenøgler er langt mere sikre muligheder for at holde dine onlinekonti sikre, når vi bevæger os fremad på internettet æra.