Operátoři implementují RCS (náhradu SMS) bez důrazu na bezpečnost

Operátoři implementují RCS (náhradu SMS) bez důrazu na bezpečnost. Zákazníky pak vystavují odposlouchávání, spamu, podvrhům telefonních čísel, úniku geolokačních informací a řadě dalších nebezpečí. Samotné RCS přitom problém není, skutečně jde jen o neschopnost ho bezpečně nasadit. Viz SMS Replacement is Exposing Users to Text, Call Interception Thanks to Sloppy Telecos

2019-11-30 11_12_14-SMS Replacement is Exposing Users to Text, Call Interception Thanks to Sloppy Te.png

Čínští hackeři z APT 41 infikovali servy telco operátorů aby mohli vykrádat obsah SMS.

Čínští hackeři z APT 41 infikovali servy telco operátorů aby mohli vykrádat obsah SMS. Cíleně přitom šli po konkrétních telefonních číslech a IMEI a také sledovali určitá klíčová slova ve zprávách. Týká se to několik nejmenovaných operátorů. Detaily v MESSAGETAP: Who’s Reading Your Text Messages?

uploads%2Fcard%2Fimage%2F1070842%2Fa07a70c5-589e-47a2-a4e2-98cbaeefa669.png%2Ffull-fit-in__950x534.png

Pár dnů po napadení účtů šéfa Twitteru přes SMS konečně Twitter pochopil a SMS tweetování vypnuli

Pár dnů po napadení účtů šéfa Twitteru přes SMS konečně Twitter pochopil a SMS tweetování vypnuli. Dočasně, samozřejmě. Byť ona dočasnost je podmíněna tím, že vždy bude existovat možnost, že mobilní operátor někomu zcela cizímu vydá SIM s číslem někoho jiného. Viz Twitter suspends SMS feature after CEO Dorsey’s account was hi-Jack-ed

2019-09-07 09_16_51-(1) Twitter Support on Twitter_ _We’re taking this step because of vulnerabiliti.png

Většina telefonů s Androidem napadnutelná phishingovým útokem přes SMS

Většina telefonů s Androidem napadnutelná phishingovým útokem přes SMS. Ten umožní změnit nastavení sítě způsobem jakým to dělají operátoři s „konfigurační“ SMS. Detaily v Advanced SMS Phishing Attacks Against Modern Android-based Smartphones

2019-09-05 17_41_34-Advanced SMS Phishing Attacks Against Modern Android-based Smartphones - Check P.png

Insinia Security poněkud svérázně upozorňují na chybu na Twitteru – hackují účty

Insinia Security poněkud svérázně upozorňují na chybu na Twitteru – hackují účty známých lidí. Byť hackují je trochu nepřesné – chyba má umožnit při znalosti telefonního čísla spojeného s účtem vkládat na účet tweety a některé další aktivity. Viz This account has been hijacked (temporarily)! kde upozorňují, že na problém přišli už v březnu, Twitter to nechal být. Znovu zkusili Twitter upozornit v listopadu, opět se nic nestalo.

Podle popisu to vypadá, že je to poměrně dost trapná chyba – prostě pokud dorazí SMS se správným číslem, Twitter ji zpracuje aniž by cokoliv ověřoval. No a protože odesílatel zprávy (číslo) se dá falšovat… Pokud se tedy ptáte jak se něčemu takovému vyhnout? Odstraňte ze svého Twitteru telefonní číslo (dvoufaktor přes SMS je tak jako tak dost rizikový).

2018-12-28 16_22_08-Window.png

Děravý server společnosti posílající SMS zprávy zpřístupnil miliony resetů hesel i dalších citlivých informací

Děravý server společnosti posílající SMS zprávy zpřístupnil miliony resetů hesel i kódů dvoufaktorového ověření. Chybně konfigurovaný server s databázemi v AWS byl navíc nalezen přes Shodan. Patřil firmě, která pro další firmy posílá SMS. Viz A leaky database of SMS text messages exposed password resets and two-factor codes kde zjistíte navíc i další řadu zásadních věcí. Třeba to, že Badoo posílá přes SMS čitelná hesla (což u Badoo nepřekvapí).

voxox-pic.png