Вы, наверное, часто слышали совет: для максимальной безопасности все SMS-сообщения от банков и других важных сервисов типа «Госуслуг» нужно принимать на отдельный номер, который никто не знает, и SIM-карта с которым будет вставлена в обычный кнопочный телефон, чтобы никакие банковские «трояны» не смогли получить доступ к заветным кодам.
Однако теперь оказывается, что это не такая уж надёжная стратегия. Или, по крайней мере, телефон кнопочный лучше брать из старых запасов, потому что в современных кнопочных телефонах Digma, занимающих около 6% российского рынка, нашли встроенную уязвимость в виде бэкдора.
Злоумышленник может удалённо управлять телефоном через интернет, рассылая или принимая SMS и передавая их содержимое на сервер, что позволяет легко организовывать массовые кибератаки, жертвы которых даже не будут догадываться о том, что что-то происходит.
Вредоносный код нашли внутри прошивки телефонов, он автоматически с заданной периодичностью обращается к серверу в сети, передавая IMEI, ICCID и другие данные. В ответ приходят команды отправить SMS с конкретным текстом на конкретный номер или переслать полученное сообщение, при этом вся переписка в памяти устройства не сохраняется.
Сколько именно телефонов заражено, не уточняется, однако очевидно, что бэкдор может работать только на телефонах, которые в принципе могут выходить в интернет. К счастью, в большинстве «кнопочников» нет поддержки ни GPRS, ни CSD, однако есть модели с 3G и LTE, в том числе VoLTE.
Если вы хотите максимально обезопасить свои SMS-сообщения, стоит использовать старые кнопочные телефоны, выпущенные до массового распространения интернета и не имеющие поддержки передачи данных, типа Nokia 3310. Такие устройства не имеют возможностей для выхода в интернет, а значит, уязвимость не может быть использована.
Впрочем, и это не является полноценной гарантией, поскольку SMS-сообщения могут быть перехвачены через уязвимости в системе сигнализации ОКС-7 (SS7), которая используется для связи между телефонными сетями по всему миру. ОКС-7 был разработана полвека назад, и её безопасность не отвечает современным требованиям с момента появления шлюзов между ТФОП и IP-сетями. Злоумышленники могут использовать эти уязвимости для перехвата SMS-сообщений и телефонных звонков, а также для отслеживания местоположения абонентов.
Известно, что атаки через SS7 позволяют перехватывать коды подтверждения, отправляемые банками и другими сервисами, что делает возможным обход двухфакторной аутентификации и получение доступа к личным данным пользователей. Однако из-за дороговизны этот метод используется в целевых атаках на конкретных жертв, реализуемых вручную, а не для массовых автоматизированных атаках.
