Secondo Positive Technologies, le One-Time Password (OTP) non sono più sicure, possono essere infatti facilmente intercettate e usate per hackerare un account.
L’azienda ha analizzato dettagliatamente il protocollo SS7 (Signaling System 7), un set standardizzato di protocolli di segnalazione utilizzato dalle reti telefoniche di tutto il mondo per gestire le telefonate, in particolar modo per aprirle e chiuderle. Il protocollo SS7, chiamato anche “sistema nervoso di una rete telefonica” viene utilizzato anche per gestire i servizi di SMS, per l’invio di messaggi di testo e per gestire gli addebiti e le telefonate tra differenti operatori. Il protocollo SS7 è stato sviluppato negli anni ’70 per connettere la telefonia fissa ma nel corso degli anni si è evoluto per supportare anche la comunicazione mobile.
È già noto che questo protocollo possieda delle vulnerabilità a causa della mancanza di crittografia e di messaggi di convalida, vulnerabilità facilmente sfruttabili per intercettare e hackerare comunicazioni. La ricerca di Positive Technologies ha riguardato 16 serie di test, svolti nel 2015, sui principali operatori di telefonia mobile in EMEA e APAC allo scopo di individuare le vulnerabilità e capire come, attraverso queste, è possibile attaccare gli utenti.
La ricerca, che ha analizzato la sicurezza delle reti SS7 di vari operatori con una base di abbonati che va dai 10 ai 70 milioni, ha dimostrato che ognuna di queste reti era suscettibile di media a 9 attacchi. Attacchi DDoS sono risultati possibili nell’80% dei casi, attacchi leakeage possibili nel 77% dei casi e vi era il 67% di probabilità che si verificassero azioni fraudolenti. La maggioranza degli attacchi (61%) sono possibili per le vulnerabilità del protocollo SS7, mentre solo l’1% è causato da vulnerabilità dei software.
Nessuna rete SS7 si è rivelata sicura, tutte infatti si sono dimostrate potenzialmente attaccabili dall’esterno e con vulnerabilità che consentono fughe di dati e intercettazione di messaggi. La maggior parte delle vulnerabilità sono state individuate nelle reti degli operatori cellulari EMEA.
Gli esperti di Positive hanno dimostrato che è sufficiente che un utente richieda tramite SS7 una OTP per permettere ad un hacker di intercettarla e di entrare nell’account dell’utente stesso. Le One Time Password, generate attraverso algoritmi matematici, sono password valide solo per una singola sessione di accesso e per un breve periodo di tempo, quindi dovrebbero aumentare la sicurezza degli account.
Facebook, Whatsapp, Telegram e Twitter, così come molti altri social media, offrono la possibilità di resettare la propria password tramite una OTP che però, invece di aumentare la sicurezza degli utenti, introduce una vulnerabilità che gli hacker possono sfruttare per intromettersi all’interno degli account. Paradossalmente, scegliendo di non ricevere una OTP si aumenta notevolmente la sicurezza del proprio account. Ciò non è valido solo per i social media ma anche per tutti quei servizi, come banche online, che presentano come opzione il recupero della password tramite SMS.
I piccoli operatori di telefonia mobile sono meno protetti contro le minacce esterne, tuttavia anche gli operatori più grandi non si sono rivelati in grado di fornire un adeguato livello di sicurezza: la percentuale di attacchi possibili si è dimostrata significativa in tutte e due i casi.
Per comprendere il danno potenziale basti pensare all’account Twitter di Katy Perry che a fine Maggio 2016 è stato hackerato. Il profilo, con più di 89 milioni di follower da tutto il mondo, si è riempito di insulti razzisti e offese omofobe che la star avrebbe rivolto a colleghi e a fan. Ciò ha comportato gravi problemi alla celebrity e al suo team; tuttavia gli account delle celebrità non sono gli unici ad essere presi di mira.
Per risolvere queste vulnerabilità è necessario avere un approccio globale alla sicurezza, tenendo ben presente che anche gli intrusi con poche competenze e con scarsi strumenti possono ormai hackerare account e profili.
Gli esperti di Positive Technologies raccomandano soluzioni che analizzano velocemente i network SS7 e che non hanno un impatto negativo sui servizi di telefonia mobile. Le soluzioni devono essere aggiornate di frequente per far fronte a minacce sempre più avanzate.
Il livello di sicurezza generale delle reti SS7 esaminate si è rivelato quindi inferiore alle aspettative: ogni rete analizzata ha dimostrato infatti di poter essere vittima di attacchi volti al furto di dati, ad interruzioni di rete o ad azioni fraudolenti. Le misure di protezione impiegate dalle aziende di telecomunicazioni non sono sufficienti a contrastare possibili attacchi hacker, e ciò riguarda sia i piccoli operatori di telefonia sia aziende molto più grandi. Al fine di ridurre i rischi, gli operatori dovrebbero adottare un approccio globale alla protezione SS7 e effettuare controlli periodici della rete, affidandosi ad aziende in grado di fornire misure adeguate a fronteggiare le vulnerabilità.