T-Mobile, AT&T og Verizon har lukket et smutthull for SMS-kapring

Xda NyhetskortNov 12, 2023
click fraud protection

Alle de tre store amerikanske operatørene (T-Mobile, AT&T og Verizon) har alle lappet et smutthull som tillot eksterne tjenester å omdirigere SMS-tekster.

Du har kanskje lest et par nyheter fra et par uker tilbake om et skummelt slags SMS-kapringangrep som også var skummelt enkelt å utføre av hvem som helst. I utgangspunktet, å bruke en tjeneste fra et selskap som heter Sakari, ment å hjelpe bedrifter å gjøre det tekstmelding markedsføring, kan tillate deg å overta noens nummer og omdirigere deres SMS-tekstmeldinger til deg: ingen spørsmål spurte, får offeret ikke engang et varsel, og tjenestens billigste plan som lar deg gjøre dette er bare $16. Denne rapporten fra Hovedkort dukket opp et gigantisk smutthull: hvis du bruker noe som bruker tekstmeldinger som en autentiseringsmetode, var alt en hacker måtte gjøre å betale $16 for å omdirigere meldingene dine. Du kan nå være rolig, men T-Mobile, AT&T og Verizon har alle lappet dette smutthullet.

Dette ble annonsert av Aerialink (via Hovedkort

), et kommunikasjonsselskap som hjelper til med å rute tekstmeldinger, i går. Selve kunngjøringen lyder at "Nummerregisteret har kunngjort at trådløse operatører ikke lenger vil støtte SMS eller MMS-tekst aktiverer på deres respektive trådløse numre," og legger til at denne endringen er bransjeomfattende og påvirker alle SMS-leverandører i det amerikanske økosystemet, inkludert alle de tre store amerikanske operatørene: AT&T, T-Mobile og Verizon, samt operatører som er avhengige av disse tre selskapenes celle infrastruktur.

Den offisielle kunngjøringen fortsetter deretter med å legge til at disse tre selskapene har "gjenvunnet overskrevne tekstaktiverte trådløse numre bransjeomfattende" og at, som et resultat, "trådløse numre som hadde blitt tekstaktivert som BYON ikke lenger ruter meldingstrafikk gjennom Aerialink Gateway," med henvisning til "Bring Your Own Number"-funksjonen de fleste operatører har for å tillate deg å bytte mobilleverandør uten å få en nytt telefonnummer. Dette betyr at trådløse BYON-numre ikke lenger vil rute tekstmeldinger gjennom Aerialink Gateway. De fleste av disse endringene betyr også at selskaper som tilbyr disse omdirigeringstjenestene som Sakari sannsynligvis ikke vil kunne tilby disse tjenestene normalt lenger.

Å komme til overflaten av dette smutthullet krever en seriøs omarbeiding av hvordan SMS-tekstmeldinger rutes gjennom operatører, og vi er glade for å se at dette problemet blir løst. Likevel er den beste handlingen å ikke stole på SMS som alternativ for tofaktorautentisering: apper som gir engangspassord som Authy og Google Autentisering, og enda sikrere metoder som maskinvarenøkler, er langt sikrere alternativer for å holde nettkontoene dine sikre når vi beveger oss videre inn på Internett æra.