上周,不明攻击者入侵通信服务公司Twilio的系统后,将Signal用户作为攻击目标。
Twilio是一家云通信公司,为其他公司提供基础设施,Twilio公司致力于帮助开发者在其应用里融入电话、短信等功能,让它们自动向用户发送短信。通过入侵Twilio系统,黑客可以向受害者发送短信,并读取他们的短信。这可能让黑客有机会接管使用Twilio服务的任何受害者的电话号码绑定的账户。
至关重要的是,Twilio为加密的消息应用Signal提供文本验证服务。当用户用Signal注册他们的电话号码时,Twilio会向他们发送一条包含验证码的短信,然后他们将验证码输入到Signal。据使用Twilio发送带有验证码的短信的Signal公司透露,它是这次攻击的目标之一。Signal特别指出,黑客攻击了该公司约1900名用户。这意味着,对于这些用户来说,黑客可能已经在他们自己的设备上注册了他们的号码并基本上冒充了他们,或者截获了 Signal 用于注册用户的 SMS 验证码。
好消息是由于 Signal 的设计方式,即使黑客使用受害者的电话号码注册他们的帐户,他们也无法访问大量信息。
Signal目前对该攻击的回复如下:
重要的是,这并没有让攻击者获得任何信息历史记录、个人资料或联系人列表。消息历史记录只存储在你的设备上,Signal不会保留它的副本。你的联系人列表,个人信息,你已经屏蔽的人,以及更多只能通过你的Signal PIN恢复,而在这次事件中,Signal PIN没有(也不能)被访问。但是,如果攻击者能够重新注册帐户,他们就可以从该电话号码发送和接收 Signal 消息。
换句话说,黑客可以冒充受害者,但不会有他们的联系方式或信息。
在攻击者可以访问 Twilio 的客户支持系统的窗口期间,他们可能会尝试使用SMS验证码将他们访问的电话号码注册到另一台设备。则攻击者不再拥有这种访问权限,并且攻击已被 Twilio 关闭。
在这1900个电话号码中,攻击者搜索到了三个号码,我们收到了其中一个受害者的投诉,称他的账户已被重新注册了。
根据投诉,黑客能够在 13 小时内接管受害者在 Signal 上的号码。
美国东部时间8月7日(周日)凌晨2点43分,本文所讲的其中一位受害者收到了一条短信:“你的信号验证码已被(修订)。”当他意识到发生了什么的时候,就立即通知了两位数字安全专家朋友,并联系了Signal。当时还不清楚发生了什么。
那时,Twilio还没有透露泄露的消息,Signal也没有对受害者公开或私下说过任何事情,所以我们不知道发生了什么。受害者让手机供应商检查他是否换了SIM卡,但没有任何受到攻击的迹象。受害者还查看了其所有的重要账户,看看是否有任何攻击的迹象,但是,同样,没有任何攻击或闯入的迹象。如果没有 Signal 的调查结果,我们无法真正知道发生了什么。
根据调查,受害者无法立即进入其使用Signal的设备,直到美国东部时间当天下午5:20才能重新注册其账户。这意味着,在大约13个小时的时间里,黑客无法访问受害者的联系人或关于他的任何消息内容,但他们可以在Signal上冒充受害者,给假装是受害者的人发消息。
一旦重新注册了帐户,攻击者就无法进行任何活动了,并阻止他们使用受害者的帐户。然后,受惠者启用了“注册锁定”(Registration Lock)功能,确保不会发生类似操作。“注册锁定”是一项信号功能,要求用户用“注册锁定”(Registration Lock)注册一个号码,以提供用户的PIN码。此外,在这个案例中,因为受害者用Signal设置了个人密码,黑客无法访问其联系人。
通过刚刚那个案例,我们要提醒用户:要打开Signal的注册锁定功能,它可以防止黑客在没有你的Signal PIN码的情况下在他们的设备上注册你的号码。像Twilio被黑这样的事件也提醒我们,依赖短信进行验证的服务很容易受到攻击。重要的是要尽可能启用每一个安全功能。
通过该事件,让人觉得可怕的不仅仅是Signal的影响。任何平台或服务都可能被操纵,将验证证书交给攻击者。目前,尽管各种服务在我们经过验证后都采取了保护措施来保护我们的账户,但现在正是这些账户最容易被攻击利用的时候。
如果你收到Signal发送的短信,其中包含这篇支持文章的链接,请按照以下步骤操作:
1.在你的手机上打开 Signal,如按照提示请重新注册Signal 帐户。
2.为了最好地保护你的帐户,我们强烈建议在应用程序的设置中启用注册锁定。创建此功能是为了保护用户免受 Twilio 攻击等威胁。
本文翻译自:https://www.vice.com/en/article/qjkvxv/how-a-third-party-sms-service-was-used-to-take-over-signal-accounts如若转载,请注明原文地址。
