Злоумышленники могут идентифицировать человека по номеру телефона с помощью социальных сетей
Вчера на habrahabr.ru появилась заметка о наличии уязвимости в мобильной версии социальной сети «ВКонтакте». В ней речь шла о том, что через функционал восстановления пароля на сайте m.vk.com можно получить аватар и имя пользователя.
Автор статьи предложил использовать базу телефонных номеров для сбора дополнительных сведений (имя, фамилия и аватар) об их владельцах. Брешь в мобильной версии была относительно быстро закрыта администрацией ресурса, однако она до сих пор присутствует в основной версии сайта.
Функционал восстановления пароля на сайте «ВКонтакте» доступен по этому адресу:
http://vk.com/restore
При вводе номера телефона или email можно получить те же данные: имя и фамилию пользователя, а также его аватар.
Кроме того, точно такая же брешь обнаружена на сайте Facebook.com.
По следующей ссылке можно получить имя, фамилию и аватар:
https://www.facebook.com/recover/initiate
Пока неизвестно, когда будут устранены эти уязвимости. В качестве временного решения SecurityLab.ru рекомендует своим читателям изменить личные данные в социальных сетях, чтобы не позволить мошенникам определить личности владельцев номеров телефонов.
16.01.2014 www.securitylab.ru/news/448984.php
Входящие поисковые запросы:
поиск в соц сетях по номеру телефона (23) * поиск по номеру телефона в соц сетях (19) * поиск по номеру телефона в социальных сетях (15) * поиск в соцсетях по номеру телефона (12) *6,199 всего просмотров, 1 сегодня
Компанія Palo Alto Networks виявила в китайських магазинах для Android 18 тис. додатків, в які був впроваджений сторонній функціонал, що дозволяв красти SMS користувачів
Про це повідомляє Еспресо.TV з посиланням на прес-службу Palo Alto Networks.
Фахівці компанії виявили, що Taomike SDK, що дозволяє впроваджувати рекламу в додатки, використовується в 63 тисячах додатків, з яких 18 тисяч викрадають SMS.
Всі додатки поширювалися через сторонні магазини, а не через Google Play.
У Palo Alto Networks також відзначили, що проблема полягає в окремій бібліотеці, яка відповідає за шкідливу активність. Вкрадені повідомлення відправлялися на адресу API-сервера компанії Taomike, що говорить про те, що шкідлива активність здійснюється не сторонніми хакерами.
За даними Palo Alto Networks, постраждали лише користувачі з Китаю, оскільки шкідливих додатків в Google Play виявлено не було.
Хакеры научились отслеживать местоположение, звонки и SMS пользователей смартфонов с помощью номера телефона. Вне зависимости от того, какие меры безопасности они используют.
Чтобы получить доступ к информации пользователя, хакеры сначала должны взломать систему обслуживания телефонной сети (общий канал сигнализации № 7, ОКС-7), которая поддерживает связь между мобильными телефонами.
Впервые уязвимость ОКС-7 была обнаружена в 2014 году немецким исследователем безопасности Карстеном Нолом. Сейчас она снова привлекла внимание хакеров.
Проникнув в систему, преступник получает доступ ко всем отправленным и полученным текстовым сообщениям, и сможет прослушивать телефонные звонки, просто используя телефонный номер жертвы в качестве идентификатора.
Карстен Нол в настоящее время анализирует уязвимость ОКС-7. Пользователи мало что могут сделать для защиты своих устройств, поскольку атака происходит со стороны сети.
По материалам PaySpace Magazine