jueves, 2 de junio de 2016

WhatsApp y Telegram, vulnerables a un fallo que permite acceder a cualquier cuenta conociendo el número de teléfono



NOTICIA DE TEKNOFILO.COM


SS7 es un conjunto de protocolos de señalización que facilitan las comunicaciones básicas, pero posee un fallo de seguridad bastante grave que lo hace vulnerable a ataques bastante simples si conoces el número de teléfono de tu victima.

El fallo de seguridad es bien conocido, pero ponerle solución no es sencillo porque es necesario que todas las compañías de telecomunicaciones se involucren. Lógicamente tanto los operadores como los desarrolladores de aplicaciones tratan de hacer todo lo posible para proteger sus productos frente a la vulnerabilidad de SS7.

El experto en seguridad Thomas Fox-Brewster ha publicado un vídeo en YouTube en el que explica que WhatsApp y Telegram son completamente vulnerables.

La forma en la que funciona el fallo es que consigues engañar a la red haciéndole pensar que el teléfono del atacante es el propietario del número de teléfono de la víctima. De esta forma el atacante puede obtener acceso a la cuenta de WhatsApp y de Telegram de la victima.

Todo lo que ha tenido que hacer el atacante es usar la función de recuperar una contraseña perdida y elegir la opción de acceder a la cuenta a través de la verificación del número por SMS o llamada de teléfono. Como la red cree que el teléfono del atacante es el dueño del número de la víctima, el atacante consigue acceso al servicio y “expulsa” a la víctima.

Aunque en el vídeo vemos este fallo siendo explotado para WhatsApp y Telegram, funciona para cualquier servicio que utiliza el número de teléfono para verificar la identidad del usuario – como Paypal. Incluso las cuentas de Facebook y Google, bajo ciertas condiciones, pueden verse comprometidas por este fallo de seguridad si el atacante conoce el número de teléfono de la víctima.

|----------|

SS7 is a set of signaling protocols that provide basic communications, but has a fairly serious security flaw that makes it vulnerable to attacks fairly simple if you know the phone number of your victim.

The security flaw is well known, but put a solution is not easy because it is necessary that all telecommunications companies involved. Logically both operators and application developers try to do everything possible to protect their products against the vulnerability of SS7.

Security expert Thomas Fox-Brewster has posted a video on YouTube in which he explains that WhatsApp and Telegram are completely vulnerable.

The way it works is that the ruling deceive you get the network into thinking that the phone attacker owns the phone number of the victim. In this way the attacker can gain access to the account of WhatsApp and Telegram of the victim.

All you had to do the attacker is to use the function to retrieve a lost password and choose to access the account through the verification number by SMS or phone call. As the network believes the attacker's phone number is the owner of the victim, the attacker gains access to the service and "expelled" to the victim.

Although in the video we see this flaw being exploited for WhatsApp and Telegram, works for any service that uses the phone number to verify the user's identity - as Paypal. Even Facebook and Google, under certain conditions, may be compromised by this security flaw if the attacker knows the phone number of the victim.

No hay comentarios: