VARNING: Mycket allvarlig säkerhetsbrist – Google-konton kan helt tas över via mobiloperatörerna

En mycket allvarlig säkerhetsbrist har identifierats när det gäller Google-kontons tvåfaktorsautenticering. På grund av de svenska mobiloperatörernas slappa rutiner kan utomstående vidarekoppla en persons mobiltelefon, och den vägen via kontoåterställning helt ta över ett Google-konto. Det är en form av social hacking. Åtgärd är att omedelbart ta bort mobilnummer från ditt Google-konto och köra Google Authenticator som tvåfaktorsautenticering, i väntan på att mobiloperatörerna får ordning på sin skit.

Google.

Säkerhetsexperten David Jacoby har identifierat en säkerhetsbrist hos svenska mobiloperatörer som Tele2, Telia och även Tre, som gör att Google-konton med tvåfaktorsautenticering via mobilen helt kan tas över av en angripare. Detaljer kring angreppet hittas i en artikel hos IDG.

Som användare med ett känt Google-konto som kan kopplas till din identitet, och därmed ditt personnummer och ditt mobilnummer (om det ej är hemligt nummer), kan ditt konto helt tas över av en angripare.

Angriparen ringer helt enkelt din mobiloperatör och ber att få ditt mobilnummer omkopplat till ett annat nummer, som angriparen förfogar över. För detta räcker lite munläder, ditt namn och ditt personnummer. Det fungerade både mot Tele2 och Telia och tog ungefär fem minuter. Hos Tre krävdes det vid testet lite mer, men var ändå genomförbart.

Sedan går angriparen in på accounts.google.com och anger att vederbörande glömt lösenordet till ditt konto. Sedan anger man att återställnignskod ska ges till ditt mobilnummer i form av ett uppringt samtal där koden läses upp. Då ditt nummer nu är vidarekopplat till angriparen kan sedan angriparen byta ditt lösenord och helt ta över ditt konto, samt stänga ute dig på grund av lösenordsbytet. Kontot kan vara mycket svårt att få tillbaka om angriparen ändrar kontaktvägarna, om man inte har ett Google Suite/Google Apps-konto, där admin kan återställa ditt konto.

Angreppet inkluderar förstås inte bara privatpersoner, utan även företag och myndigheter, som använder Google Suite/Google Apps. Ett anonymt konto där man inte vet vem som har kontot är förstås svårt att angripa, men personer som är identifierade går att angripa.

Angreppsvektorn kan stoppas genom att du tar bort ditt mobilnummer från ditt Google-konto och istället använda appen Google Authenticator för tvåstegslösen. Det räcker inte att bara aktivera Authenticator, då möjligheten till återställning via mobilen kvarstår så länge numret finns kvar på ditt konto.

Problemet är att den allmänna rekommendationen varit att aktivera tvåstegslösen för dina konton. Även andra konton än Google kan vara sårbara på detta vis. Alla tjänster som är beroende av ett telefonnummer kan angripas med olika resultat, inklusive fysiska larm, där larmcentralen ringer upp ett nummer vid larm – ett nummer som kan ha kopplats vidare till en angripare.

Teleoperatörerna måste förstås få ordning på sin skit, men det är inte alltid begåvningsreserven som sitter i kundtjänst, och det finns alltid risken att man kan snacka omkull dem och koppla vidare någon annans mobiltelefon. Att förvänta sig en snabb lösning från operatörerna är naivt.

Återigen, se artikeln hos IDG.