先前我們曾介紹過「再強大的加密通訊也沒用 古老通訊漏洞SS7可截取通訊軟體訊息」,裡面提到了透過一個古老的通訊漏洞SS7,就可以透過偽裝身分的方式,強登通訊軟體,進而擷取通訊軟體的對話紀錄。而現在,又有國外媒體發現,只要你的臉書有綁定電話號碼,駭客就能透過SS7漏洞偽裝成你的身分,進而透過遺忘密碼的方式取得你的臉書帳號的權限。
↑透過SS7漏洞,駭客可以透過攔截認證簡訊的方法,來盜取你的Facebook帳號。
SS7為Signaling System Number 7(第七號發信系統)的縮寫,是一種全球通訊系統,方便各國的電信商透過此系統來進行資料與漫遊的服務。但是其中早在70年代就發現了漏洞,但遲遲沒有處理,由於SS7為共同建構的關係,他不屬於任何一間通訊電信商所有,是故線型也沒有任何一間公司或政府能夠獨斷處理,這個狀況也導致了漏洞存留至今的原因。
根據國外媒體的報導,由於SS7漏洞的特性是「偽裝成任何電話號碼」,透過此偽裝方式其實可以騙過許多透過簡訊認證的系統,其中包含了許多人都在使用的Facebook。在Facebook的系統上有一個遺忘密碼的功能,在此功能中雖然大部分的使用者都知道是透過輸入帳號的信箱來取回密碼。但是如果你有進行過電話綁定的話,其實也是可以透過電話號碼來找到你的帳號。
找到帳號後,接著可以申請使用簡訊認證的方式來輸入認證碼,此時,如果駭客是使用SS7漏洞來進行電話號碼的偽裝的話,Facebook傳給你的簡訊,也是會連帶傳一份到駭客手上的,取得認證碼的駭客,就可以透過輸入認證碼,進而修改你臉書的原本密碼、取得你的臉書權限。
↑透過SS7漏洞,駭客可以達到偽裝電話號碼、攔截Facebook認證簡訊,進而達到取得帳號權限的目的。
最後還是再次重申,此漏洞與Facebook無關,是全球通訊系統SS7的問題。面對此攻擊,短時間內似乎也無解(有啦,臉書如果更改認證流程或改成雙認證流程的話,是可以避免。)如果擔心出事情的話,是可以選擇把你的臉書帳號與手機號碼解除綁定。綁定方法如下。
Android Facebook電話認證解除法
↑打開你的Facebook App,在功能表那邊找到「帳號設定」,點進去後找尋「一般」。
↑點進一般後,如果你有綁定電話號碼的話,就可以看到你的號碼,接著點選「電話號碼」進去。
↑點選進去後,可以看到電話號碼旁邊有個移除,點他之後,系統會要求你輸入一次你的密碼,輸入完成點「清除電話號碼」後,就完成了移除電話號碼的動作了。
iOS Facebook電話認證解除法
↑打開你Facebook App的功能表,從裡面找到「設定」,接著點選「帳號設定」。
↑進入設定後,接著點選「一般」,進去後會看到你的電話號碼,再來點選「電話號碼」。
↑點選電話號碼旁邊的「移除」,系統會要求你輸入一次密碼,輸入完成點選「清除電話號碼」後,就完成了移除電話號碼的手續了。
↑移除電話號碼後,透過臉書的遺忘密碼系統,就算再輸入電話號碼,是直接找不到帳號的。
↑而此時就算使用遺忘密碼系統找到了帳號,認證的方式變成了使用其他帳號或Email認證。