Линус Себастиан лишился контроля над входящими звонками и SMS-сообщениями в ходе эксперимента Veritasium. Александр Де Оливейра и Карстен Ноль использовали уязвимости протокола SS7, чтобы перехватить данные без физического доступа к устройству. Демонстрация показала, что для кражи одноразовых кодов двухфакторной аутентификации злоумышленнику достаточно знать только номер телефона цели.
📞 История телефонного взлома: от синих коробок до Ватикана 0:59
Стив Джобс и Стив Возняк начали предпринимательскую деятельность в 1970-х годах с создания Blue Box . Это нелегальное устройство позволяло обходить тарификацию междугородних звонков, которые в пересчете на современные деньги стоили около 25 долларов за минуту .
Взлом стал возможен из-за архитектуры сети того времени. Управляющие сигналы передавались по тому же каналу, что и человеческий голос . Стив Возняк выяснил, что тон частотой 2600 Герц заставляет оборудование узла связи считать звонок завершенным, при этом линия оставалась открытой для ввода нового номера .
Стив Джобс вспоминал, как они использовали Blue Box для звонка в Ватикан . Стив Возняк представился Генри Киссинджером и потребовал соединить его с Папой Римским . Позже Стив Джобс утверждал, что без опыта управления глобальной инфраструктурой с помощью самодельного устройства компания Apple никогда бы не появилась .
🛡️ Появление SS7 и архитектура «закрытого сада» 6:46
Телефонные компании решили проблему взломов, разделив каналы передачи голоса и управляющих сигналов. В 1980 году был внедрен протокол Signaling System No. 7 (SS7) . Он использовал отдельную цифровую линию для управления соединениями, что исключало возможность имитации сигналов через микрофон трубки .
Система SS7 изначально проектировалась как доверенная среда для ограниченного числа крупных операторов. В 1980-х годах мобильные телефоны были редкостью и чаще всего устанавливались в автомобилях . Операторы доверяли любым сообщениям внутри сети, формируя концепцию «сада за стеной» (walled garden) .
Сегодня ландшафт изменился: в мире насчитывается более 1200 операторов и 4500 сетей . Доступ к SS7 теперь имеют не только государственные гиганты, но и виртуальные операторы, а также сервисы массовых рассылок. Это расширение круга участников создало тысячи потенциальных точек входа для хакеров .
🕵️ Три этапа атаки на Линуса Себастиана 8:11
Александр Де Оливейра и Карстен Ноль продемонстрировали процесс взлома, разделив его на три этапа:
- Инфильтрация: Покупка легального доступа к узлу SS7. Стоимость аренды Global Title (адреса в сети SS7) составляет несколько тысяч долларов в месяц . Хакеры могут арендовать доступ у недобросовестных провайдеров, подкупить сотрудников или взломать мелкого оператора.
- Получение доверия: Сбор данных о SIM-карте. Номера телефона недостаточно для прямой атаки. Хакерам нужен IMSI — уникальный 15-значный идентификатор SIM-карты . Для его получения отправляются специальные служебные сообщения, имитирующие запрос маршрутизации .
- Атака: Перехват функций связи. После получения IMSI хакеры могут заставить сеть считать, что телефон цели находится в роуминге под их управлением .
Во время эксперимента Джеймс Хобсон позвонил Линусу Себастиану . Телефон Линуса даже не зазвонил. Вместо него вызов принял Дерек Мюллер, находящийся в другой локации . Система перенаправила звонок на устройство хакеров, подменив идентификатор вызываемого абонента .
🔐 Кража кодов двухфакторной аутентификации 18:09
Перехват SMS-сообщений работает по схожему принципу подмены местоположения абонента. Сеть направляет текстовые сообщения на узел, контролируемый атакующим. Линус Себастиан попытался защитить тестовый аккаунт YouTube с помощью SMS-подтверждения .
Александр Де Оливейра мгновенно получил код 820299 на свой компьютер . Линус Себастиан не получил уведомления о том, что сообщение было перехвачено или пропущено . Карстен Ноль подчеркнул, что SMS-аутентификация часто является единственным доступным способом защиты банковских аккаунтов, что делает эту уязвимость критической .
📍 Слежка за местоположением и реальные жертвы 20:32
SS7 позволяет отслеживать перемещения пользователя без использования GPS . Точность позиционирования в городской черте составляет около 100 метров, так как запрос идентифицирует конкретную вышку сотовой связи, к которой подключен аппарат .
В 2018 году технология SS7 предположительно использовалась для поиска яхты, на которой пыталась сбежать Шейха Латифа, принцесса Дубая . Исследователи зафиксировали серию подозрительных запросов к оператору капитана судна за несколько дней до его захвата .
Основные факты о слежке через SS7:
- В 2016 году Карстен Ноль продемонстрировал отслеживание перемещений конгрессмена Теда Лью .
- Ежегодно фиксируется более 2,5 миллионов попыток несанкционированного отслеживания местоположения .
- Израильская NSO Group, разработчик Pegasus, приобрела компанию, специализирующуюся на SS7-трекинге, в 2014 году .
🚧 Почему уязвимость до сих пор не устранена 27:01
Протокол SS7 остается стандартом для обеспечения связи между сетями разных поколений. Он является фундаментом для работы 2G и 3G соединений . Отключение этих протоколов невозможно из-за требований обратной совместимости. Например, в Европе системы экстренного вызова в автомобилях часто используют именно 2G/3G SIM-карты для экономии .
Технология 5G содержит более защищенные протоколы сигнализации, которые могут остановить подобные атаки . Однако при роуминге между разными сетями операторы по-прежнему используют SS7 как универсальный язык общения . Переход на новые стандарты замедляется из-за инерции индустрии и отсутствия выгоды для первых внедривших изменения компаний .
Для личной защиты эксперты рекомендуют:
