“Noi sosteniamo che questi attacchi siano facili da testare, verificare ed eseguire su larga scala”, hanno scritto i ricercatori delle università del New Mexico, dell’Arizona, della Louisiana e di Farm Circle. “Il modello di minaccia può essere realizzato utilizzando hardware di livello consumer ed è basilare solo per conoscenze di sicurezza web intermedie.”
I messaggi SMS vengono inviati non crittografati. Negli anni passati, i ricercatori hanno scoperto database pubblici di testi inviati in precedenza che contengono collegamenti di autenticazione e dettagli personali, inclusi nomi e indirizzi di individui. Una di queste scoperte, Dal 2019Include messaggi di testo inviati e ricevuti nel corso di diversi anni tra una singola azienda e i suoi clienti. Ciò includeva messaggi di marketing tra cui nomi utente e password, richieste di finanziamento universitario, codici di sconto e avvisi di lavoro.
Nonostante le note insicurezze, la pratica continua ad evolversi. Per ragioni etiche, i ricercatori dietro lo studio non avevano modo di coglierne la reale portata, poiché avrebbe richiesto di aggirare i controlli di accesso, per quanto deboli fossero. Per fornire solo una visione limitata del processo, i ricercatori hanno esaminato i gateway SMS universali. Di solito si tratta di siti Web basati su annunci che consentono alle persone di utilizzare un numero temporaneo per ricevere SMS senza rivelare il proprio numero di telefono. Ad esempio Gateway Qui E Qui.
Con una visione così limitata dei messaggi di autenticazione inviati tramite SMS, i ricercatori non sono stati in grado di valutare la reale portata della pratica e i suoi rischi per la sicurezza e la privacy. Tuttavia, i loro risultati sono stati notevoli.
I ricercatori hanno raccolto 332.000 URL univoci consegnati tramite SMS, estratti da 33 milioni di testi, inviati a più di 30.000 numeri di telefono. I ricercatori hanno trovato numerose prove di minacce alla sicurezza e alla privacy di coloro che li ricevono. Di questi, hanno detto i ricercatori, i messaggi provenienti da 701 endpoint inviati per conto di 177 servizi hanno rivelato “informazioni personali significative”. La causa principale dell’esposizione era un’autenticazione debole basata su collegamenti tokenizzati per la verifica. Chiunque abbia il collegamento può quindi ottenere le informazioni personali degli utenti, inclusi numeri di previdenza sociale, date di nascita, numeri di conto bancario e punteggi di credito, da questi servizi.
