【針拮到肉識痛】Twitter停用SMS出tweet功能
利用 SMS Swapping 漏洞嚟搶奪帳戶持有權嘅個案,相信發生得非常頻密,只不過今次發生喺 Twitter CEO 身上,仲令到呢個社交平台要暫停 SMS 出 tweet 功能,先至咁受關注咋。
事實上,SMS Swapping 攻擊並唔繁雜,黑客只要透過唔同方法,例如偷走/冒領目標人物嘅 SIM 卡,又或攔截目標人物嘅 SMS 短訊,就有可能搶奪對方嘅登入帳戶。因為唔少公司都會用 SMS 作為申請重設密嗎嘅發送渠道,所以如果掌握到目標人物用嚟登入帳戶嘅名稱,而又做到 SMS Swapping 攻擊,咁就好易搶奪帳戶。
電話號碼確認推文
Twitter 就係其中一個好例子,CEO Jack Dorsey 早前就被黑客盜用咗 SIM 卡,然後瘋狂透過 SMS 出 tweet 功能嚟幫佢推文,內容涉及反猶太人同埋種族主義;當 Dorsey 發現及通知電訊商停咗佢個電話號碼,已經過去咗 20 分鐘。喺今次事件入面,黑客並唔需要搶奪 Dorsey 帳戶先可以推文,因為以往 Twitter 一直保持住可以用 SMS 嚟推文嘅功能,喺呢個情況下只要有或複製目標人物嘅 SIM 卡就得,因為用 SMS 推文,只要確認發送電話號碼係之前帳戶持有人所綁定,就會確信係本人發送,連帳戶登入密碼都唔使入。而用 SMS 推文嘅原因,係令上網費用貴嘅地區就可以用到 Twitter,所以當 CEO 帳戶都被利用之後,Twitter 就停咗呢項功能喇。
其實上星期我哋都講過 Twitter 嘅雙重認證漏洞,令用戶只可以焗用 SMS 嚟接收雙重認證資料,所以話 SMS 真係 Twitter 嘅死穴嚟,唔知仲要等到幾時,Twitter 方面先可以正視呢啲問題呢?
