Odposlechu telefonů napomáhá protokol ze 70-ých let
Whatsapp či SMS? Zahraniční média zaregistrovaly rozsáhlé ataky hackerů na mobilní zařízení. Bezpečnostní riziko je pro zastaralý protokol používaný operátory prakticky neomezené.
Přibližně před rokem se objevilo několik zpráv o bezpečnostních dírách v protokolu SS7, který je široce používán v pevných i mobilních sítích po celém světě. Denně se přes tento systém uskutečňují miliardy hovorů a SMS zpráv. Po proniknutí do sítě stačí k odposlechu znát už jen telefonní číslo účastníka.
Ověřit tuto zranitelnost se rozhodla i redaktorka CBS News. Pro tento účel zakoupila nový mobilní telefon, který poskytla americkému kongresmanovi Tedovi Lieu (člen výboru pro kontrolu informačních technologií pozn. Redakce). Lieu souhlasil s použitím telefonu ke komunikaci se zaměstnanci, přičemž je dopředu informoval o možném odposlechu.
Redaktorka oslovila společnost Security Research Labs, která prostřednictvím protokolu SS7 dokázala odposlouchávat celé telefonické rozhovory kongresmana Lieu a dokázala sledovat jeho pohyb, a to i tehdy když bylo na telefonu vypnuté GPS.
Vykradeny bankovní účty v Německu
Stejnou zranitelnost využili i hackeři v Německu. Nejdříve prostřednictvím útoků přes malware identifikovali bankovní účty, přihlašovací údaje, hesla a zůstatky. Následně prostřednictvím SS7 dokázali přesměrovat SMS zprávy, kterými banky předávají klientům jednorázové hesla pro potvrzení transakcí. Tím dokázali převést finanční prostředky z vytipovaných bankovních účtů.
Proč nebyla tato chyba již opravena, když je známa již několik let? Proč se protokol SS7 stále používá?
SS7 byl navržen a implementován v 70. letech, kdy rozšíření mobilních technologií bylo nesrovnatelně menší než v současnosti. Od té doby se protokol rozšířil do většiny telefonních síti a jeho náhrada by nebyla jednoduchá. Zda byla původní chyba jen nedopatřením a riziko si v té době nikdo neuvědomoval, nebo šlo o úmysl není podstatné. SS7 existuje a dodnes se používá téměř v každém telefonu.
Čtěte také:
Mezi doporučené ubytování pro Muslimy se dostaly také české hotely
Pražské tramvajové tratě bude řídit japonský software
Mnoho odborníků nepovažuje problém protokolu SS7 za vážný, protože jsou známé i jiné způsoby jak odposlouchávat mobilní telefony. Vyřešením chyby v SS7 se nevyřeší problém s odposlechem telefonních hovorů a SMS zpráv.
Co však problém SS7 dělá skutečně závažným je jeho nezávislost na platformě. Většina útoků na mobilní zařízení spočívá ve využívání slabin jednotlivých operačních systémů jako Android, iOS, Windows Mobile nebo BlackBerry. Z toho právem vznikají diskuse, zda je jeden z operačních systém bezpečnější než druhý. SS7 je však součástí komunikačních protokolů, které musí být v každém mobilním zařízení. Dokonce i v těch které nejsou označovány za "smart".
Jak se chránit před odposlechem?
Před vykradením bankovního účtu, podobně jako se stalo v Německu, se běžný uživatel nemá jak chránit. Zřejmě nepřesvědčíte banku, že způsob jejich zabezpečení je nedostatečný. I když na druhé straně, by všechny ztráty měly být klientům kompenzovány, protože útoky se staly vinou banky. Uživatel se také nemá jak chránit v případě příchozích standardních GSM hovorů nebo SMS zpráv.
Uživatel si může chránit alespoň vlastní hovory a zprávy. A to tak, že nahradí používání standardních hlasových služeb a SMS zpráv poskytovaných mobilním operátorem, aplikací která poskytuje šifrovanou komunikaci.
Odolnost vůči útokům přes SS7 poskytují i aplikace typu Whatsapp, Telegram, Signal a podobně, které jsou zdarma. Tyto aplikace poskytují jistou základní úroveň bezpečnosti. Pokud je ochrana vaší komunikace a vašeho soukromí klíčová, musíte si zvolit aplikaci, která řeší bezpečnost komplexně a splňuje vaše potřeby.
Michal Palát, autor pracuje v oblasti bezpečnosti komunikace
Podpořte nezávislou žurnalistiku platbou na IBAN CZ8920100000002100602454, nebo se registrujte a kupte přístup k exkluzivnímu obsahu, Děkujeme