En mycket allvarlig säkerhetsbrist har identifierats när det gäller Google-kontons tvåfaktorsautenticering. På grund av de svenska mobiloperatörernas slappa rutiner kan utomstående vidarekoppla en persons mobiltelefon, och den vägen via kontoåterställning helt ta över ett Google-konto. Det är en form av social hacking. Åtgärd är att omedelbart ta bort mobilnummer från ditt Google-konto och köra Google Authenticator som tvåfaktorsautenticering, i väntan på att mobiloperatörerna får ordning på sin skit.
Google. |
Säkerhetsexperten David Jacoby har identifierat en säkerhetsbrist hos svenska mobiloperatörer som Tele2, Telia och även Tre, som gör att Google-konton med tvåfaktorsautenticering via mobilen helt kan tas över av en angripare. Detaljer kring angreppet hittas i en artikel hos IDG.
Som användare med ett känt Google-konto som kan kopplas till din identitet, och därmed ditt personnummer och ditt mobilnummer (om det ej är hemligt nummer), kan ditt konto helt tas över av en angripare.
Angriparen ringer helt enkelt din mobiloperatör och ber att få ditt mobilnummer omkopplat till ett annat nummer, som angriparen förfogar över. För detta räcker lite munläder, ditt namn och ditt personnummer. Det fungerade både mot Tele2 och Telia och tog ungefär fem minuter. Hos Tre krävdes det vid testet lite mer, men var ändå genomförbart.
Sedan går angriparen in på accounts.google.com och anger att vederbörande glömt lösenordet till ditt konto. Sedan anger man att återställnignskod ska ges till ditt mobilnummer i form av ett uppringt samtal där koden läses upp. Då ditt nummer nu är vidarekopplat till angriparen kan sedan angriparen byta ditt lösenord och helt ta över ditt konto, samt stänga ute dig på grund av lösenordsbytet. Kontot kan vara mycket svårt att få tillbaka om angriparen ändrar kontaktvägarna, om man inte har ett Google Suite/Google Apps-konto, där admin kan återställa ditt konto.
Angreppet inkluderar förstås inte bara privatpersoner, utan även företag och myndigheter, som använder Google Suite/Google Apps. Ett anonymt konto där man inte vet vem som har kontot är förstås svårt att angripa, men personer som är identifierade går att angripa.
Angreppsvektorn kan stoppas genom att du tar bort ditt mobilnummer från ditt Google-konto och istället använda appen Google Authenticator för tvåstegslösen. Det räcker inte att bara aktivera Authenticator, då möjligheten till återställning via mobilen kvarstår så länge numret finns kvar på ditt konto.
Problemet är att den allmänna rekommendationen varit att aktivera tvåstegslösen för dina konton. Även andra konton än Google kan vara sårbara på detta vis. Alla tjänster som är beroende av ett telefonnummer kan angripas med olika resultat, inklusive fysiska larm, där larmcentralen ringer upp ett nummer vid larm – ett nummer som kan ha kopplats vidare till en angripare.
Teleoperatörerna måste förstås få ordning på sin skit, men det är inte alltid begåvningsreserven som sitter i kundtjänst, och det finns alltid risken att man kan snacka omkull dem och koppla vidare någon annans mobiltelefon. Att förvänta sig en snabb lösning från operatörerna är naivt.
Återigen, se artikeln hos IDG.
18 kommentarer
Inte bara slappa mobiloperatörer härjar där ute. Låt oss se vilka svenska banker som är inblandade i cum-ex.
I mitt konto står det att säkerhetskoden kommer skickas som sms.
Hoppas det betyder att det uppringande alternativet inte finns att välja.
Någon som vet?
Och i vilken telefon tror du SMS:et hamnar?
Vidarekoppling fungerar inte för SMS. Bara för samtal. I alla fall om det är samma sak som **67* [riktnummer + telefonnummer] # vi pratar om.
Jag vet att sms alltid går till min telefon även om den är vidarekopplad, bara samtalen vidarekopplas. Men det gör det inte när du vidarekopplar?
SMS vidarebefordras inte vid en vidarekpppling.
OK!
Avaktiverade den funktionen tills Google gjort tydligt att det endast kommer ett sms..
Passade på att byta lösenord istället, 8 tecken längre än det gamla och nu kommer det att ta 9 Nonillioner år att knäcka det enligt den här sidan: https://howsecureismypassword.net/
Knappast unikt för Google. Exvis Instagram har signup och återställning av pw via telefonnummer.
Står i inlägget:
"Alla tjänster som är beroende av ett telefonnummer kan angripas med olika resultat, inklusive fysiska larm, där larmcentralen ringer upp ett nummer vid larm – ett nummer som kan ha kopplats vidare till en angripare."
Vidarekoppling borde bara vara möjlig från det egna numret. Konstigt att kunna vidarekoppla andras nummer.
Min erfarenhet är att om man har tvåstegsverifiering så krävs det två uppgifter för att återställa lösenord (T.ex att man kan ett gammalt lösenord eller en annan mail-adress). Att bara skicka återställningskod till mobil brukar inte räcka.
Varierar så klart från tjänst till tjänst men för google krävs det inte.
"Alla tjänster som är beroende av ett telefonnummer kan angripas med olika resultat, inklusive fysiska larm, där larmcentralen ringer upp ett nummer vid larm – ett nummer som kan ha kopplats vidare till en angripare."
Brukar inte larmcentralen kräva att man styrker sin identitet när de ringer upp? Vår gör det iaf.
Annars hade det ju bara varit för tjuven att be dem bortse från larmet när larmcentralen ringer upp hemnummret.
Kan bara tala för larmet vi har och då ringer de upp och man behöver svara med ett lösenord
"Teleoperatörerna måste förstås få ordning på sin skit, men det är inte alltid begåvningsreserven som sitter i kundtjänst, och det finns alltid risken att man kan snacka omkull dem och koppla vidare någon annans mobiltelefon."
Det är nog också så att det inte begåvningsreserven som ansvarar för säkerheten. Med vettiga säkerhetsansvariga så delar man inte ut rättigheter till höger och vänster och speciellt inte till folk som saknar vett nog för access.
Men teleoperatörerna har väl sagt i flera år att idén att basera säkerhet på ett telefonnummer är skitdålig och att alla borde sluta med det bums?
Iofs ingen ursäkt men problemen är helt enkelt för många.
Men alltjämnt finns det de som baserar "säkerhet" på sådana "hemligheter" som ditt personnummer och liknande…
Sen är det klart att det kanske inte alltid är sådär jätteviktigt att man har superdupersäkerhet på alla konton.