Alla tre stora amerikanska operatörer (T-Mobile, AT&T och Verizon) har alla åtgärdat ett kryphål som gjorde det möjligt för externa tjänster att dirigera om SMS-texter.
Du kanske har läst ett par nyheter från ett par veckor tillbaka om en skrämmande typ av SMS-kapningsattack som också var skrämmande lätt att utföra av vem som helst. I grund och botten, att använda en tjänst från ett företag som heter Sakari, menat att hjälpa företag att göra SMS marknadsföring, kan låta dig ta över någons nummer och omdirigera deras SMS till dig: inga frågor frågade, offret får inte ens ett meddelande, och tjänstens billigaste plan som låter dig göra detta är bara $16. Denna rapport från Moderkort uppstod ett gigantiskt kryphål: om du använder något som använder textmeddelanden som autentiseringsmetod, var allt en hackare behövde göra att betala $16 för att omdirigera dina meddelanden. Nu kan du dock vara lugn, eftersom T-Mobile, AT&T och Verizon alla har åtgärdat detta kryphål.
Detta tillkännagavs av Aerialink (via
Moderkort), ett kommunikationsföretag som hjälper till att skicka textmeddelanden, igår. Själva meddelandet lyder att "nummerregistret har meddelat att trådlösa operatörer inte längre kommer att stödja SMS eller MMS-text aktiverar på sina respektive trådlösa nummer", och tillägger att denna förändring är branschomfattande och påverkar alla SMS-leverantörer i det amerikanska ekosystemet, inklusive alla tre stora amerikanska operatörer: AT&T, T-Mobile och Verizon, såväl som operatörer som förlitar sig på dessa tre företags cell infrastruktur.Det officiella tillkännagivandet fortsätter sedan med att tillägga att dessa tre företag har "återtagit överskrivna textaktiverade trådlösa nummer branschomfattande" och att, som ett resultat, "trådlösa nummer som hade textaktiverats som BYON inte längre dirigerar meddelandetrafik genom Aerialink Gateway", med hänvisning till "Bring Your Own Number"-funktionen som de flesta operatörer har för att tillåta dig att byta mobilleverantör utan att få en nytt telefonnummer. Detta innebär att trådlösa BYON-nummer inte längre skickar textmeddelanden genom Aerialink Gateway. De flesta av dessa förändringar innebär också att företag som tillhandahåller dessa omdirigeringstjänster som Sakari sannolikt inte kommer att kunna tillhandahålla dessa tjänster normalt längre.
Uppkomsten av detta kryphål kräver en seriös omarbetning av hur SMS-textmeddelanden dirigeras genom operatörer, och vi är glada över att se att detta problem åtgärdas. Ändå är det bästa sättet att inte lita på SMS som ditt alternativ för tvåfaktorsautentisering: appar som tillhandahåller engångslösenkoder som Authy och Google Authenticator, och ännu säkrare metoder som hårdvarunycklar, är mycket säkrare alternativ för att hålla dina onlinekonton säkra när vi går vidare till Internet epok.