14/10/20
Усилия Ирландии по информированию населения о коронавирусе могут столкнуться с базовой уязвимостью в SMS. По словам бывшего участника киберпреступной группировки Lulzsec Джейка Дэвиса (Jake Davis), который в настоящее время является консультантом в области ИБ, в качестве отправителя SMS используется имя, уязвимое к спуфингу.
Каждый, кто прибывает в Ирландию, обязан предоставлять иммиграционной службе свои контактные данные, в том числе номер телефона. На этот номер затем приходит SMS-сообщение от «gov ie» с инструкциями, как позвонить врачу и получить медицинскую консультацию в случае появления симптомов коронавирусной инфекции.
Проблема заключается в том, что сети сотовой связи в Ирландии не блокируют возможность повторного использования названия «gov ie» кем угодно. По словам Дэвиса, он никак не ожидал, что правительственные SMS так легко можно подделать с помощью базовых техник спуфинга.
Ранее в нынешнем году с такой же проблемой столкнулись власти Великобритании. В случае с Ирландией, прежде чем сообщить о проблеме общественности, исследователь уведомил о ней ирландское правительство.
Призвав власти Великобритании инвестировать в технологию сотового вещания для массовых сообщений («Это быстрее, дешевле, безопасно и надежно достигает 99% телефонов»), Дэвис также призвал правительства в целом «поддерживать связь с известными провайдерами SMS API и местными операторами мобильной связи, заблаговременно предупреждать их о том, с каких имен/номеров они будут отправлять важные текстовые сообщения, и просить блокировать использование этих имен и номеров отправителей другими лицами».
