Усі 3 основні оператори США (T-Mobile, AT&T і Verizon) виправили лазівку, яка дозволяла зовнішнім службам перенаправляти SMS-повідомлення.
Можливо, ви прочитали кілька новин за пару тижнів тому про жахливу атаку викрадення SMS-повідомлень, яку до того ж було дуже легко здійснити будь-кому. По суті, використання послуги від компанії Sakari, призначеної для допомоги підприємствам СМС маркетингу, може дозволити вам заволодіти чийсь номер і перенаправити його SMS-повідомлення вам: немає питань запитують, жертва навіть не отримує сповіщення, а найдешевший план служби, який дозволяє вам це зробити, просто $16. Цей звіт від Материнська плата виявилася гігантська лазівка: якщо ви використовуєте щось, що використовує текстові повідомлення як метод автентифікації, все, що хакер мав зробити, це заплатити 16 доларів, щоб перенаправити ваші повідомлення. Тепер ви можете бути спокійні, оскільки T-Mobile, AT&T і Verizon усунули цю лазівку.
Про це повідомляє Aerilink (віа Материнська плата), комунікаційна компанія, яка допомагає маршрутизувати текстові повідомлення, вчора. У самому оголошенні йдеться, що «Реєстр номерів оголосив, що оператори бездротового зв’язку більше не підтримуватимуть SMS або MMS. увімкнення на відповідних бездротових номерах", додавши, що ця зміна стосується всієї галузі та впливає на всіх постачальників SMS в екосистемі США, включаючи всіх трьох основних операторів США: AT&T, T-Mobile і Verizon, а також операторів, які покладаються на стільниковий зв’язок цих трьох компаній інфраструктура.
Далі в офіційному повідомленні додається, що ці три компанії «відновили перезаписані бездротові номери з підтримкою текстових повідомлень. у всій галузі" і що, як наслідок, "бездротові номери, які були включені для текстових повідомлень як BYON, більше не направляють трафік обміну повідомленнями через Aerialink Gateway», посилаючись на функцію «Візьміть свій власний номер», яку більшість операторів має дозволити вам змінювати оператора стільникового зв’язку без отримання новий номер телефону. Це означає, що бездротові номери BYON більше не спрямовуватимуть текстові повідомлення через шлюз Aerialink. Більшість із цих змін також означають, що компанії, які надають ці послуги зміни маршруту, як-от Sakari, ймовірно, більше не зможуть надавати ці послуги нормально.
Виявлення цієї лазівки вимагає серйозної переробки способу маршрутизації SMS-повідомлень через операторів, і ми раді, що цю проблему вирішено. І все-таки найкращий спосіб дій — не покладатися на SMS як на варіант двофакторної автентифікації: програми, які надають одноразові паролі, як-от Authy і Google Автентифікатор і навіть більш безпечні методи, такі як апаратні ключі, є набагато безпечнішими варіантами захисту ваших онлайн-облікових записів у міру просування до Інтернету ера.