Milioni ljudi se prijavljuju na naloge putem SMS linka, a to može da vas stavi u nezgodnu situaciju
Prijavljivanje bez lozinke putem SMS poruke deluje praktično i bezbedno, ali nova analiza otkriva ozbiljnu pukotinu u tom modelu. Istraživači su otkrili da kod velikog broja servisa sama posedovanja linka iz SMS-a funkcioniše kao dokaz identiteta, bez dodatne provere.
U praksi, to znači da svako ko dođe do tog linka može da pristupi privatnim podacima korisnika. Ne zbog hakovanja naloga, već zbog načina na koji je sistem osmišljen.
Preporučujemo
Kolika brzina interneta vam je zaista potrebna?
Tri male promene zbog kojih Google Maps na Androidu postaje mnogo korisniji
Analiza je obuhvatila više od 322.000 jedinstvenih URL-ova iz preko 33 miliona SMS poruka, povezanih sa desetinama hiljada brojeva telefona i najmanje 177 digitalnih servisa.
Praktično rešenje koje nosi skriveni rizik
SMS prijave postale su popularne jer uklanjaju potrebu za lozinkama i bazama podataka koje često bivaju kompromitovane. Međutim, SMS je nešifrovan kanal, što znači da poruke mogu biti presretnute, sačuvane ili zloupotrebljene dugo nakon što su poslate.
Najveći problem nije sama poruka, već pretpostavka da je posedovanje linka dovoljno za potvrdu identiteta. U velikom broju slučajeva, klik na link otvara pristup osetljivim informacijama, uključujući datum rođenja, finansijske podatke i kreditne zapise, bez ikakve dodatne autentifikacije.
Istraživači su takođe primetili da su mnogi servisi koristili tokene sa slabom entropijom, što je u teoriji omogućavalo pogađanje validnih linkova prostim menjanjem karaktera u URL-u. Dodatni problem je što su neki linkovi ostajali aktivni mesecima, pa čak i godinama.
Zašto korisnici teško mogu da se zaštite
Za razliku od klasičnih napada, ovde ne pomažu antivirusni alati, uklanjanje malvera ili lični firewall. Ako sistem na serverskoj strani prihvata link kao dokaz identiteta, korisnik nema mnogo prostora za odbranu.
Posebno zabrinjava podatak da je samo mali broj kompanija reagovao nakon što su obaveštene o problemu. Od oko 150 kontaktiranih servisa, tek njih 18 je priznalo ranjivosti, a još manji broj je sproveo konkretne promene.
Tamo gde su korekcije uvedene, izloženost je smanjena za desetine miliona korisnika. Većina servisa, međutim, nije dala nikakav javni komentar.
Ovaj slučaj otvara šire pitanje bezbednosti identiteta u digitalnom svetu. Ne radi se o krađi naloga u klasičnom smislu, već o dizajnerskim odlukama koje korisnicima ostaju nevidljive, dok rizik postoji u pozadini.
SMS prijava ostaje zgodna, ali ova analiza pokazuje da pogodnost često dolazi uz cenu koju korisnici ne mogu sami da procene, niti da je lako izbegnu.
(Telegraf.rs)