调查发现,一名黑客可以用最少的努力重新路由短信,并支付16美元,然后利用这一能力闯入一些在线账户,包括和,这暴露了美国电信基础设施的一个缺陷。
3月25日,宣布无线运营商将不再支持在他们的无线号码上启用短信或彩信文本。这种变化是全行业的,影响了移动生态系统中的所有短信提供商。请注意,T-和ATT已经收回了全行业支持短信的覆盖无线号码。因此,任何无线号码、T-或ATT,如果用作启用BYON的文本,将不再通过网关路由消息流量。
T-Mobile、威瑞森和ATT没有立即回复置评请求。联邦通信委员会(FCC)和CTIA(运营商的贸易组织)也没有回应置评请求。上周,主板公布了一项调查,其中一名化名为Lucky225的黑客向一家名为Sakari的公司支付了一小笔钱,以证明这一问题,此前并未详细报道。Sakari是一家帮助企业进行短信营销和群发消息的公司。作为其中的一部分,Sakari从另一家名为Bandwidth的公司获得了短信重定向的能力,Bandwidth从另一家名为NetNumber的公司获得了这种能力。
在输入相应的电话号码时,Lucky225被要求签署一份文件,基本上是用小拇指发誓,以确保目标已经同意转移短信。Lucky225的真实身份是网络安全公司OkeySystems的首席信息官。输入主板提供的电话号码几分钟后,Lucky225开始收到原本发给主板手机的短信。从这里,Lucky225使用SMS作为登录或认证机制来登录各种服务。
不难看出,这种攻击对安全的威胁很大。联邦通信委员会必须利用其权力迫使电话公司保护他们的网络免受黑客攻击。对此,Sakari联合创始人AdamHorsman表示,Sakari已经引入了安全功能,输入的号码会收到自动呼叫,以确保号码所有者同意信息分流。现在随着运营商砍掉手机号短信,商业短信公司的庞大生态系统很可能根本无法执行这项服务。
霍斯曼周四在一份声明中告诉Motherboard,我们欢迎这一消息,并希望业内其他公司也能效仿。我们Sakari的政策一直是只支持固定电话号码的VoIP和短信功能。一旦提出行业问题,我们完全屏蔽任何手机号。作为我们内部审计的一部分,除了Lucky225的账户,我们没有发现任何其他受影响的手机号码。
结束
本文链接:http://www.slxf119.com/16309.html 转载需授权!
网友评论