Информационные SMS о COVID-19 от правительства Ирландии уязвимы к спуфингу

Вт 13 Октябрь 2020 14:35

Усилия Ирландии по информированию населения о коронавирусе могут столкнуться с базовой уязвимостью в SMS. По словам бывшего участника киберпреступной группировки Lulzsec Джейка Дэвиса (Jake Davis), который в настоящее время является консультантом в области ИБ, в качестве отправителя SMS используется имя, уязвимое к спуфингу.

Каждый, кто прибывает в Ирландию, обязан предоставлять иммиграционной службе свои контактные данные, в том числе номер телефона. На этот номер затем приходит SMS-сообщение от «gov ie» с инструкциями, как позвонить врачу и получить медицинскую консультацию в случае появления симптомов коронавирусной инфекции.

Проблема заключается в том, что сети сотовой связи в Ирландии не блокируют возможность повторного использования названия «gov ie» кем угодно. По словам Дэвиса, он никак не ожидал, что правительственные SMS так легко можно подделать с помощью базовых техник спуфинга.

Ранее в нынешнем году с такой же проблемой столкнулись власти Великобритании. В случае с Ирландией, прежде чем сообщить о проблеме общественности, исследователь уведомил о ней ирландское правительство.

Призвав власти Великобритании инвестировать в технологию сотового вещания для массовых сообщений («Это быстрее, дешевле, безопасно и надежно достигает 99% телефонов»), Дэвис также призвал правительства в целом «поддерживать связь с известными провайдерами SMS API и местными операторами мобильной связи, заблаговременно предупреждать их о том, с каких имен/номеров они будут отправлять важные текстовые сообщения, и просить блокировать использование этих имен и номеров отправителей другими лицами».

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 14 лет 257 дней 23 часа 22 минуты 12 секунд
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.