A WannaCry árnyékában a világ megfeledkezett egy hasonlóan súlyos biztonsági résről, mely a mobilcégek sms-szolgáltatásait érinti.
A sérülékenység segítségével a banki azonosító kódokat tartalmazó sms-üzeneteket sikerült más telefonszámra átirányítani, és így a bűnözők pénzt tudtak lopni német bankszámlákról. A biztonsági rést már 2014-ben felfedezték, de az idén használták először.
A Süddeutsche Zeitung cikke szerint a sérülékenységet kihasználó bűnözőknek sikerült olyan sms-üzeneteket átirányítani a saját készülékeikre, melyek a banki azonosításhoz használt, egyszer használatos kódokat tartalmazták. A megszerzett kódokat a bűnözők különböző összegek átutalására használták fel – éjjel, amikor a célszemélyek aludtak.
Mindehhez a támadóknak ismerniük kellett a kiszemelt célszemély banki adatait, mobilszámát és hozzá kellett férniük az SS7-protokollhoz. A banki adatokat, mobilszámot adathalász-támadással szerezték meg. Az SS7-protokollhoz hozzáférést pedig egyszerűen megvásárolták, kevesebb mint ezer euróért a német O2 Telefonica egyik meg nem nevezett külföldi partnerétől. Így képesek voltak kedvükre hívásokat és sms-eket átirányítani.
Az SS7, vagyis Signaling System #7 egy telefonos protokoll, melyet 1975-ben fejlesztettek ki, és amit azóta világszerte több mint 800 vezetékes és mobil távközlési szolgáltató használ. A protokoll szabályozza a hívás továbbítást, a számlázást, a szöveges üzenetek küldését. Segítségével állapítják meg, hogy egy SIM-kártya még mindig használatban van-e vagy sem. Lehetővé teszi a számok hordozását, hogy a szolgáltatók egy mobiltelefon földrajzi helyzetét bemérjék 50 méteres pontossággal. Erre nem azért van szükség, mert kémkedni szeretnének utánunk, hanem azért, hogy a szolgáltató az egyik adótoronyból a másiknak adja át a hívást. E nélkül az autós mobilhívás megszakadna, miután az eredeti kapcsolatot létrehozó adótorony hatósugarából kihajt.
A kihasználható sérülékenységet 2014-ben két német kutató, Tobias Engel és Karsten Nohl publikálta, előtte állítólag a titkosszolgálat használta a célszemélyek tartózkodásának megállapítására. Nohl tavaly bebizonyította, hogy egy jól felszerelt támadó belehallgathat a telefonbeszélgetésekbe, és meghatározhatja a mobilkészülék-használó földrajzi helyzetét. Az akkori következtetések szerint egy átlagembernek nincs miért tartania a támadástól. Azonban tavaly az Amerikai Egyesült Államok szabványügyi hivatala már azt javasolta, hogy az sms-alapú, kétfaktoros azonosítást ki kellene vezetni.
Mivel az SS7 protokollt 42 éve dolgozták ki, az akkori szabványok és élet szerint biztonságos technológiáról volt szó. A kidolgozói nem tudhatták, hogy évtizedekkel később egy másik technológia, az internet, az élet minden részét átitatja. Az SS7 biztonsága azon a feltételezésen alapult, hogy a technológia csak a távközlési szolgáltatók számára elérhető, és nem fér hozzá a nagyközönség.
A német vírusvédelemi cég, a G DATA szakemberi arra hívják fel a figyelmet, hogy az sms-üzenetekben kiküldött kódok helyett a bankoknak más módszert kellene használniuk a kétlépcsős azonosításra. A szakemberek a hardveres biztonsági tokenek, vagy a Google Authenticator-hoz hasonló mobil alkalmazások bevezetését javasolják. Addig is a távközlési vállalatok felelőssége az SS7-ről más, biztonságosabb protokollokra áttérni.