Respuesta corta: No. El uso de la autenticación de 2 factores en su teléfono para su cuenta de Google o Facebook reduce el riesgo de que su cuenta sea secuestrada, y debe hacerlo si puede. Esta “vulnerabilidad” no afecta materialmente eso.
K. Scott Helms tiene razón: esta es una expansión de su respuesta. Pasé demasiado tiempo trabajando en puertas de enlace SS7-IP a fines de la década de 1990 en Cisco.
El título de ZDNet “Cómo hackear Facebook con solo un número de teléfono” es terriblemente engañoso. Un titular más preciso sería “13 cosas y un truco extraño que necesitarás para hackear una red SS7. # 6 te sorprenderá ”
- Si mi sistema se ejecuta en Ubuntu (o el sistema operativo Linux en general), ¿mi sistema puede estar infectado por virus con un sistema operativo Windows en Virtual Box?
- ¿Son buenas las versiones descifradas de antivirus de pago?
- ¿Qué sucederá si se envía un poderoso programa de virus al servidor antivirus superior?
- ¿Steve Gibson (de GRC) es muy respetado en el Valle?
- ¿Qué pueden hacer las organizaciones para prevenir los ataques de la botnet Mirai?
Esta no es una vulnerabilidad SS7: es un ejemplo de lo que alguien podría hacer si pudiera obtener acceso físico o lógico a una red SS7, y configurar correctamente su punto final para esa red en particular, y falsificar exactamente los mensajes SS7 correctos (la red SS7 de cada operador está personalizado y, por lo tanto, es ligeramente diferente de todas las demás redes SS7: es una larga historia).
Entonces, es un poco como decir que todas las redes Wifi son vulnerables porque un atacante con acceso al punto de acceso Wifi podría interceptar sus paquetes. O que todas las redes Ethernet del centro de datos son vulnerables porque un atacante con acceso físico al conmutador, las credenciales correctas para la consola y un conocimiento profundo del conjunto de comandos podrían interceptar sus paquetes. Ambas son declaraciones verdaderas, pero uno tiene que considerar el grado de riesgo antes de decidir asustarse y declarar algo “inherentemente” inseguro. Debido a que todo ya es inherentemente inseguro, no existe la seguridad perfecta.
En otras palabras, la vulnerabilidad descrita es lo suficientemente difícil de explotar que no se observa en la vida cotidiana.
Los atacantes están en el negocio de ataques exitosos en lugar de escribir documentos de conferencia, por lo que optan por la opción de menor costo. Lo que probablemente sea adivinar o forzar brutalmente su contraseña u obtener acceso a su teléfono.
