用一个电话号码黑掉Facebook账户是可能的,来自Positive科技的专家演示了利用SS7协议漏洞的方法。
发表在《福布斯》上的一篇博客文章提到:“研究人员已经证实,运用一些黑客技能和一个电话号码来利用SS7网络,就能控制一个Facebook账户。SS7网络是电信基础设施中的一个较为薄弱的核心部分,这一点在过去的五年里已被多次证实。”
黑客只要知道某个Facebook用户的电话号码,就能利用SS7协议漏洞盗用他的账户。这项技术允许黑客绕过社会网络中所有的安全措施。
SS7是电信中的一组协议,自1970年代末开始投入使用,它能让数据顺利地进行传递。
SS7信号系统中存在的这些安全问题可能会被犯罪分子、恐怖分子和从事间谍活动的情报机构利用。SS7协议允许手机运营商通过手机信号塔收集用户设备的位置数据,并和其他运营商分享,这就意味着只要利用了SS7协议,无论客户走到哪里,运营商都能发现他的踪迹。
来自Positive科技的这个研究团队最近还演示了如何利用SS7协议盗用 WhatsApp和Telegram账户。
这些专家设计的攻击方法主要针对所有依赖于短信验证的用户账户,包括Gmail和Twitter。
要攻击一个Facebook账户,攻击者首先需要点击一个出现在Facebook主页上的“忘记密码“链接,当被要求提供一个属于目标账户的电话号码或电子邮件地址时,黑客需要提供合法的电话号码。
在这个时候,攻击者可以利用SS7缺陷劫持包含一次性密码(OTP)的短信,然后通过密码登录目标的Facebook账号。
下面是这些研究者发布的概念验证视频:
黑客只能针对使用电话号码注册Facebook账户的用户。
为了保护你的facebook账户,请不要在社交媒体网站上关联你的电话号码,而是使用电子邮件找回账户。请使用电子邮件接收密码,而不是通过短信这种方式。