Autentizace skrz SMS: Horší než byste čekali

1. 4. 2021

Sdílet

 Autor: © Alexander Santander - Fotolia.com
Zneužít autentizace prostřednictvím textových zpráv je daleko snazší, než byste očekávali.

O tom, že autentizace skrz SMS má své mezery, se ví už dlouho. Jak velké ve skutečnosti jsou, ukazuje aktuální reportáž magazínu Vice. Problém není ani tak v samotném textování, ale v celém prostředí telekomunikačních technologií.

Reportéry oslovený hacker v rámci demonstrace katastrofické zneužitelnosti systému přesměroval veškerou textovou komunikaci oběti, kterou byl jeden z reportérů, aniž by k tomu potřeboval větších odborných znalostí. V zásadě jen stačilo zaplatit malý poplatek (asi 350 Kč) legitimní messagingové službě s názvem Sakari. Hacker „pouze“ zalhal o tom, že k přesměrování má povolení uživatele/oběti, aniž by po něm bylo požadováno to jakkoliv doložit.

„Jakmile je útočník schopen přesměrovat textové zprávy oběti, už pro něj může být snadné nabourat se do účtů, které s daným telefonním číslem souvisí,“ uvádí Vice. „V našem případě útočník zaslal žádost o zaslání přihlašovacích údajů na Bumble, WhatsApp a Postmates a snadno se pak do všech účtů přihlásil.“ Reportáž tak ukázala, jak chabě zabezpečené celé telekomunikační prostředí je, pokud jde o textovou komunikaci. A stala se tak dalším důkazem, že SMS zprávy nemohou být považovány za bezpečné, nejen coby nástroj autentizace.

„Sakari získává povolení ovládat přesměrování textových zpráv od jiné firmy jménem Bandwith. Ta pomáhá s přiřazováním čísel a správou trafficu skrze svou vazbu na další společnost jménem NetNumber. NetNumber vlastní a provozuje svoji centralizovanou databázi, která je používána pro směrování zpráv,“ vysvětlují reportéři na první pohled složité schéma vztahů několika společností.

Hlavním argumentem proti ověřování skrz textové zprávy byla roky skutečnost, že jsou snadno zneužitelné skrz tzv. man-in-the-middle útoky, v nichž útočník jako prostředník „odposlouchává“ komunikaci dvou lidí. Takový argument je stále platný, reportáž Vice je však vhledem do infrastruktury textových zpráv, ukazujícím, že jejich zneužití je mnohem snazší.

Na trhu je přitom řada snadno dostupných aplikací, v nichž je textová autentizace mnohem bezpečnější, ať už jde o Google Authenticator, VIP Access, Adobe Authenticator nebo Signal. Proč tedy riskovat používáním nešifrovaných snadno zcizitelných textových zpráv k přihlášení do účtu či k čemukoliv jinému?

Na chvíli nechme stranou, jak relativně snadné a levné je přejít na jiné, bezpečnější formy textového zabezpečení, i to, jakému riziku se vystavujete, jestliže váš přístup k účtu závisí na ověření nešifrovanou textovou zprávou. Podívejme se čistě na rizika a možné důsledky toho, že poskytujete třetím stranám přístup skrz takovou nešifrovanou textovou autentizaci. Jak uvádí Vice: „Útočník zaslal žádost o zaslání přihlašovacích údajů na Bumble, WhatsApp a Postmates a snadno se pak do všech účtů přihlásil.“

Jakmile hacker získá kontrolu nad textovými zprávami oběti, spustí rozsáhlý dominový efekt, v rámci kterého lze zneužít celou řadu účtů, včetně těch firemních. Představme si pak situaci, že právní zástupce jiné firmy vycítí příležitost získání vysokého odškodného právě od vaší firmy a použije například podobnou argumentaci: „Pokud by vaše firma nepoužívala pro autentizaci nešifrované textové zprávy a nespustila tak řetězovou reakci, můj klient by nebyl přiveden ke způsobení toho samého. Proto by vaše firma měla pokrýt naše ztráty.“

Připadá vám to absurdní? Nejspíš trochu je, ovšem než nechat dojít takový spor před soud, pravděpodobně byste se chtěli dohodnout na mimosoudním vyrovnání.

bitcoin_skoleni

Krom toho uvažte další dopady takové situace, nejen finanční, ale třeba i ty v podobě negativní zpětné vazby od zákazníků či poškození dobrého jména. A ve snaze obhájit podobné jednání před úřady pak zpravidla následují dva argumenty: 1) „Tehdy to byla běžná praxe.“ 2) „Neměli jsme důvod se domnívat, že nešifrované textové zprávy jsou až tak nezabezpečené.“ Na první – celkem běžný – argument, který by možná ještě loni obstál, přitom začne být už brzo pozdě. A ten druhý („Kdo to mohl vědět?“) výrazně oslabuje třeba právě s odkazovanou reportáží Vice.

Nedopusťte, ať je zrovna vaše firma tou poslední, která přestane spoléhat na nešifrované textové zprávy. Ti poslední totiž zpravidla zaplatí tu nejvyšší cenu.