O Facebook é a rede social mais popular da actualidade e nesse sentido devia ser também uma das mais seguras. No entanto, uma falha no protocolo SS7 permite que alguém mal intencionado consiga aceder à sua conta.
Para tal basta saber o seu número de telefone e usar “alguns truques”.
De acordo com a equipa de segurança da Positive Technologies, basta ter o número de telemóvel da vitima para comprometer a sua conta no Facebook. Tal é possível graças a uma vulnerabilidade no protocolo SS7.
O que é o protocolo SS7?
O protocolo de sinalização SS7 (Signalling System No. 7) foi desenvolvido em 1975 e é usado à escala mundial para definir como as redes públicas de telefone comutadas (PSTN) conseguem trocar informação sobre uma rede digital. Este protocolo é amplamente usado entre as várias redes de telemóveis mas, de acordo com vários especialistas, há informação que fica “facilmente” acessível, como por exemplo informação sobre SMS e outra.
A falha deste protocolo é conhecida desde 2014 e tem sido explorada nos mais diversos serviços (ler: Parece impossível, mas é fácil ouvir conversas entre smartphones).
Mas um dos melhores métodos para ler o Facebook de alguém é uma aplicação chamada eyeZy. Inclui várias ferramentas que levantam a cortina nas suas conversas. Com uma ferramenta chamada Social Spotlight, é possível ler as suas conversas privadas no Messenger, mais uma série de outras aplicações. Isto inclui o WhatsApp e o Instagram, ambos propriedade da Meta (que é proprietária do Facebook).
O eyeZy também inclui um keylogger, que capta as suas teclas à medida que digitam. E há também um gravador de ecrã, que capta instantâneos do seu telefone à medida que o utilizam. Com tecnologia avançada à sua disposição, é fácil ler o seu Facebook e descobrir o que andam a tramar.
Como é feito o “ataque”?
Basicamente o atacante só tem de ir à página do Facebook e carregar em “Forgot account?”. De seguida deverá indicar o número de telemóvel da vítima e conseguir “desviar” a entrega da resposta. O código de acesso é enviado pelo Facebook através de uma SMS.
A Positive Technologies disponibilizou, em vídeo, uma prova de conceito do ataque.
Enquanto o protocolo SS7 não for revisto, continuarão a ser descobertas vulnerabilidades que afetarão a segurança dos mais diversos serviços.
O SS7 já colocou em causa serviços como o WhatsApp, Facebook, entre outros. Até ao momento não há qualquer solução para este problema.