Telegram – взлом возможен. Мнение экспертов по ИБ

11.05.2016 |

Александр Абрамов.

На прошлой неделе несколько оппозиционеров обвинили компанию МТС в помощи спецслужбам при взломе их личных аккаунтов в набирающем популярность мессенджере Telegram. Спустя несколько дней компания Positive Technologies в своем блоге на Хабрахабр.ру отчиталась об успешном взломе аккаунта в Telegram с помощью перехвата SMS-сообщений, тем самым доказав, что завладеть личной информацией без ведома ее владельца могут не только спецслужбы. Корреспондент ICT-Online.ru побеседовал с экспертом компании о том, как можно организовать такую атаку. Как выяснилось, под ударом находятся все пользователи интернет-сервисов, где предусмотрена SMS-авторизация.

Историю о данном взломе можно прочитать в материале Оппозиция vs МТС. Политики обвинили оператора в соучастии атаки на аккаунты Telegram от 6 мая 2016 г. Краткая суть истории - активисты оппозиции сообщили в своих социальных сетях об атаке на их учетные записи в Telegram. По их мнению, непосредственным участником взлома выступила компания МТС, которая отключила сервисы SMS-уведомлений под давлением спецслужб. Активисты оппозиции стали призывать общественность к отказу от услуг этого мобильного оператора и даже разработали специальный сайт об этой истории.

Эта история широко разошлась по сети. Многие политики и эксперты изложили свои версии случившегося (не исключая создателя Telegram Павла Дурова)

Среагировали и эксперты по информационной безопасности. Так, в посте на Хабрахабр.ру компания Positive Technologies сообщила, что один из вариантов атаки на Telegram – использовать уязвимости сети сигнализации SS7 (в России ОКС7), которая повсеместно используется операторами связи. Ознакомиться с его содержанием можно на странице, где подробно расписаны этапы предполагаемого взлома.

Описание и этапы атаки на Telegram

Ведущий специалист по информационной безопасности Positive Technologies Дмитрий Курбатов специально для ICT-Online.ru пояснил суть поста. Он отметил, что технология SS7 была разработана еще в середине 70-х годов прошлого века для объединения операторов связи. Первоначально это были сети фиксированной связи. В 90-е годы прошлого века, когда появилась мобильная связь, технологию SS7 адаптировали для поддержки сотовых сетей. По сути SS7 – это набор сигнальных телефонных протоколов, используемых для настройки большинства телефонных станций (PSTN и PLMN) по всему миру.

В начале 2000-х годов была создана спецификация SIGTRAN, которая дала возможность передачи сообщений SS7 по IP-сетям. Данная спецификация не смогла избавиться от всех прорех в безопасности верхних уровней протоколов SS7, что развязало руки кибер-преступников.

Стоит отметить, что для получения легального доступа к сети SS7 нужно иметь статус оператора связи или провайдера дополнительных услуг. Тем не менее, доступ к SS7 может получить злоумышленник даже без высокой квалификации с помощью специального программного обеспечения. Кибер-преступник получает доступ к сведениям о местоположении абонента в других странах, может влиять на доступность абонента в сети. Злоумышленники также могут осуществлять перехват SMS-сообщений и USSD-запросов, перенаправление голосовых вызовов, прослушивание переговоров и т. д.

Ведущий специалист по информационной безопасности Positive Technologies Дмитрий Курбатов

Дмитрий Курбатов отметил, что из-за уязвимости сети SS7 под угрозу ставятся все онлайн сервисы, которые задействуют для передачи конфиденциальной информации SMS-сообщения.

Специалисты Positive Technologies создали тестовый аккаунт Telegram, передали несколько сообщений в чате, чтобы сохранилась история переписки.

Затем, используя подключение к сети SS7, они произвели регистрацию абонента в фиктивной сети, создавая для оператора видимость того, что абонент уехал в роуминг, и, таким образом, получили доступ ко входящим SMS-сообщениям.

Далее, инициировав получение одноразового пароля к аккаунту по SMS, представители Positive Technologies получили доступ к истории переписки тестового Telegram за исключением содержания секретных чатов. В блоге на Хабрахабр.ру приводятся скриншоты процесса взлома. При этом сама атака проводилась с настройками по умолчанию, то есть в режиме, в котором работает большинство пользователей.

По словам Дмитрия Курбатова, атаки через уязвимости SS7 могут быть использованы, как для доступа к личной информации, так для извлечения материальной выгоды – например, доступа к системам интернет-банкинга и перевод из них денежных средств.

Однако не понятно, почему только сейчас многие узнали о возможности атак через сеть SS7, хотя сама технология существует уже более 40 лет. Дмитрий Курбатов отмечает, что интереса к теме атак посредством сети SS7 не наблюдалось до 2003 года, а первое глубокое исследование уязвимостей SS7 появилось лишь в 2008 году, но и оно было теоретическим. О возможности осуществления практических атак на сеть SS7 всерьез заговорили в 2014 году. Сначала компания Positive Technologies опубликовала доклад «Уязвимости сетей мобильной связи на основе SS7». Затем данную тему подняли эксперты из Германии.

О подобных атаках Positive Technologies предупреждала еще в прошлом году

Дмитрий Курбатов подчеркнул, что пример успешного взлома Telegram специалистами Positive Technologies, естественно, не является единственным возможным вариантом атаки на аккаунты оппозиционеров. Однако такой способ завладения данными в популярном мессенджере исключать из версий случившегося также нельзя.

По словам Дмитрия Курбатова, сегодня атаки через сеть SS7, если таковые и случаются, приносят финансовые и репутационные потери операторам мобильной связи, поэтому, как правило, не афишируются. Кроме того, единицы операторов по всему миру отслеживают подозрительные активности, связанные с SS7, поэтому многие провайдеры услуг связи могут в принципе не знать о подобных инцидентах, происходящих в их сетях.

В конце своего поста на Хабрахабр.ру компания Positive Technologies еще раз обращает внимание на небезопасность передачи конфиденциальных данных посредством SMS-сообщений, так как безопасность самой мобильной связи оставляет желать лучшего. По мнению специалистов Positive Technologies, Уязвимостям подвержена не только технологическая сеть SS7, но и алгоритмы шифрование радиоинтерфейса.

Таким образом, резюмирует эксперт, под ударом находятся все пользователи интернет-сервисов, где предусмотрена SMS-авторизация.