ทีมวิจัยจากมหาวิทยาลัยพรินซ์ตันเปิดเผยร่างรายงานวิจัยทดสอบความปลอดภัยของกระบวนการออกซิมโทรศัพท์มือถือใหม่ในสหรัฐฯ โดยทดสอบกับค่ายใหญ่ 3 ค่าย คือ T-Mobile, AT&T, และ Verizon และ MVNO อีก 2 ค่าย คือ Tracfone และ US Mobile พบว่าทั้งหมดล้วนไม่ปลอดภัยเพียงพอ
งานวิจัยใช้เบอร์โทรศัพท์ที่ทีมงานซื้อมาด้วยตัวเอง โดยสร้างตัวตนผู้ใช้ขึ้นมา 10 รายชื่อ สำหรับหมายเลขโทรศัพท์ 10 หมายเลข ระบุข้อมูล เช่น วันเกิด, ที่อยู่, อีเมล จากนั้นซื้อโทรศัพท์ 10 เครื่องจำลองเป็นเครื่องของเหยื่อ และอีก 10 เครื่องจำลองเป็นเครื่องของผู้โจมตี โดยไม่มีการใช้โทรศัพท์ซ้ำกันเลย โดยเครื่องของเหยื่อนั้นจะโทรเข้าออกเป็นระยะเวลาหนึ่งสัปดาห์เพื่อให้เหมือนหมายเลขที่มีการใช้งานจริง
ในขั้นตอนการโจมตี ผู้ช่วยวิจัยจะโทรเข้าศูนย์บริการ ระบุว่าซิมเดิมที่ใช้งานมีปัญหาการรับสัญญาณ และตอนนี้มีซิมใหม่อยู่ในมือต้องการให้ย้ายเบอร์มาลงซิมใหม่ โดยผู้ช่วยวิจัยจะตอบข้อมูลเท่าที่จะตอบได้ยกเว้นหมายเลข PIN ยืนยันตัวตน หากข้อมูลใดตอบไม่ได้จะอ้างว่าลืม หรือตอนกรอกข้อมูลสมัครได้กรอกผิดไป จากนั้นทีมงานบันทึกว่ามีการถามข้อมูลใดบ้าง
ผลวิจัยพบว่าคำถามส่วนใหญ่ของผู้ให้บริการเครือข่ายโทรศัพท์มือถือไม่ปลอดภัย เช่น คำถามว่าจ่ายเงินครั้งสุดท้ายเมื่อใด สามารถโจมตีได้ด้วยการไปจ่ายเงินแทนผู้ใช้จริง, คำถามว่าโทรออกครั้งสุดท้ายหมายเลขใดสามารถโจมตีด้วยการยิง missed call เพื่อล่อให้เหยื่อโทรกลับ, การถามข้อมูลส่วนตัวหลายอย่างเป็นข้อมูลที่ค้นหาได้ง่าย, ข้อมูลโทรศัพท์ เช่น หมายเลข IMEI สามารถหลอกเอาจากเหยื่อได้ด้วยการให้ลงแอป หรือแม้แต่การดักฟังจากสัญญาณโทรศัพท์ นอกจากนี้ผู้ให้บริการบางรายยังยอมให้สลับซิมแม้จะผู้โจมตีจะไม่สามารถยืนยันตัวตนได้สำเร็จก็ตาม
ผลการโจมตีพบว่าผู้ช่วยวิจัยสามารถขอสลับซิมจากผู้ให้บริการทั้ง 5 รายได้สำเร็จทั้งหมด โดยอัตราการสำเร็จไม่เท่ากัน เฉพาะ 3 ค่ายใหญ่นั้นอัตราความสำเร็จ 100%
ทีมวิจัยพบว่าเว็บไซต์จำนวนมากยังใช้การล็อกอินสองขั้นตอนโดยแนะนำให้ใช้ SMS และบริการจำนวนมากก็ใช้ SMS อย่างเดียวในการล็อกอิน รายงานแนะนำให้เว็บไซต์ อิมพลีเมนต์กระบวนการล็อกอินขั้นตอนที่สองโดยมีทางเลือกที่ปลอดภัยเป็นทางเลือกอย่างน้อยอีกหนึ่งรูปแบบ และหากยังใช้ SMS อยู่ก็อย่าสนับสนุนผู้ใช้ให้เลือกใช้ SMS หรือยกเลิกการใช้ SMS ไปเลย
ปัญหาการขโมยเงินด้วยการโจมตีจากหมายเลขโทรศัพท์เป็นปัญหาระบาดในหลายประเทศ ในไทยเองเคยมีคดีพ่อค้าถูกขโมยเงินจากบัญชีเกือบหนึ่งล้านบาท ที่ผ่านมาการยืนยันตัวตนผ่าน SMS ถูกจัดเป็นการยืนยันตัวตนที่ไม่ปลอดภัยเพียงพอ NIST จัดให้ SMS เป็นการยืนยันตัวตนที่ต้องใช้อย่างจำกัด (RESTRICTED) โดยหากมีการใช้งานต้องไม่สนับสนุนให้ใช้ และต้องจัดหาวิธีที่ปลอดภัยทดแทนไว้ด้วย
ที่มา - issms2fasecure.com