脆弱性Tele2:電報とQiwiウォレットユーザーは危険にさらされています





いいえ、Tele2オペレーターの不快な機能に出会いました。これにより、Telegramメッセージの履歴を盗んだり、Qiwiウォレットにアクセスしたりできます。 この方法にはいくつかの条件があり、特定の人には効果がないかもしれないが、それにもかかわらず、本当の危険があることを予約します。



オペレーターは、所有者がパスポートを提示すると、オフィスでSIMカードの回復が行われます。 ただし、Tele2の代表者は顧客に会いに行き、パスポートなしでリカバリーを実行できるようにします。 名前、所有者のパスポートの詳細、重複するSIMカードをポケットに入れてください。 現在、状況は少し複雑です(オペレーターの担当者に直接連絡する必要があります)。SIMカード用の「SIMカード」を購入し、加入者サービスに電話して番号をこのディスクに切り替える前に。 しかし、一般的に、状況は変わっていません-所有者を復元する必要はありませんが、データのみが必要です。



したがって、パスポートの詳細を知っているだけで、完全になじみのない人から電話番号を「盗む」ことができます。これは今では特に問題になりません。 たとえば、レジストラR01.RUからの最近のリークについて多くの人が聞いています。 ただし、レジストラはすべてのパスポートデータ(パスポートスキャンを含む)と顧客の電話番号を保存します。 地下鉄で販売したり、インターネットを閲覧したりするデータベースを忘れないでください。 つまり、このようなデータベースからTele2電話番号を取得し、パスポートデータを取得して、SIMカードを復元します。 元のSIMカードは同時にブロックされ、所有者が問題を理解して理解している間、必要なすべてのデータをすばやくマージできます。



この「脆弱性」は、電話番号をログインとして使用するすべてのサービスに影響します。 たとえば、Telegramメッセンジャー。 SIMカードがあり、それを電話に挿入し、メッセンジャーを起動し、被害者の電話番号を入力すると、TelegramからSMSが送信されます。 SMSを正常に受信し、Telegramにコードを入力すると、すべての古いメッセージが自動的にロードされます。 たとえば、Qiwiウォレットでも同じ方法が機能します。アカウントにお金があった場合は、電話番号でパスワードをリセットするだけで、同じ方法でアカウントから引き出すことができます。



電報やqiwiウォレットだけでなく、電話番号のみで認証を使用する他のサービスも危険にさらされています。 はい、「電話を絞る」ことを試して必要な情報をすべてダウンロードできますが、そのような場合は考慮しません。 その結果、ある日、携帯電話は事業者のネットワークに登録されていないと言われ、その間、すべてのメッセージ、お金などが盗まれます。



携帯電話に接続されているシステムは、この脆弱性に対して脆弱であると言えます。 しかし、私の意見では、これはそうではありません:たとえば、SkypeまたはYandexでログインを知って、このログインに関連付けられている電話番号を決定することは、条件付きでは現実的ではなく、非常に問題があります(所有者がディスプレイに表示した場合を除く) 。 QiwiとTelegramの場合、ログインは電話番号にすぎないため、他に何かを見つける必要はありません。



私の意見では、Tele2オペレーターは、所有者が個人的にオフィスにいなくても、SIMカードを回収する行為を完全に排除すべきです。 その間、オペレーターはこれを行っていません。モバイル認証を使用するすべてのサービスは、Tele2サブスクライバーであるユーザーに追加の保護メカニズムを導入する必要があります。



UPD :このような脆弱性から保護するための簡単なメカニズムがあります。新しいパスワード回復要求(Qiwiの場合)またはTelegramでの認証ごとにHLR要求を行います。 回答には、IMSI(International Mobile Subscriber Identity)-SIMカードの番号が含まれます。 この番号が最後の要求以降に変更された場合、アラームを鳴らす必要があります。



All Articles