2021/03/16

Segurança 2FA via SMS ultrapassada por apenas $16

Quem usar os SMS para qualquer forma de verificação de segurança está sujeito a tornar-se numa vítima, já que qualquer pessoa se pode apoderar dos seus SMS por apenas $16.

Há anos que os especialistas de segurança têm alertado para que não se utilizem os SMS como forma de validação de segurança, e temos mais um caso que demonstra como é urgente seguir essas recomendações - ao contrário do que muitos serviços continuam a fazer, incluindo serviços bancários. Os SMS são um poço de vulnerabilidades (como a facilidade de enviar um SMS com o remetente que se desejar) e temos assistido a casos de SIM Swapping cada vez mais frequentes, e isto para não falar das vulnerabilidades implícitas à própria rede, que podem ser exploradas com a conivência de qualquer operador de telecomunicações de reputação duvidosa em qualquer parte do mundo. Mas desta vez a coisa é ainda mais simples.

Este novo ataque não depende de engenharia social ou contactos num operador para atribuir o número da vítima ao atacante, e é algo que fica ao alcance de qualquer pessoa, desde que esteja disposta a pagar $16 para um serviço que permite redireccionar SMS, e onde basta falsificar um documento para que se possa redireccionar os SMS da vítima para um novo número.
Do lado da vítima não há qualquer sinal evidente de que algo está errado, mas a partir desse momento, os SMS que lhe forem enviados serão reencaminhados para o atacante, que assim pode facilmente ter acesso a coisas como códigos 2FA, ou códigos para reposição de passwords, conseguindo o acesso a inúmeros serviços. E, considerando o baixo valor do investimento, abrem-se também outras vertentes, como a de parceiros ou ex-parceiros desconfiados, que queiram ver que SMS é que certa pessoa está a receber.

Felizmente, parece que os bancos já perceberam - finalmente! - os riscos dos SMS, e temos assistido a bancos que estão a transitar dos SMS para notificações nas suas próprias apps. E com casos assim, não há mesmo desculpa para que os SMS continuem a ser usados para efeitos de autenticação ou validação de segurança - já que, em vez de reforçar a segurança, acabam por comprometê-la.


P.S. O Twitter já prometeu que em breve permitirá usar exclusivamente chaves físicas sem SMS.

Sem comentários:

Enviar um comentário (problemas a comentar?)

[pub]