- Os links de login por SMS dependem exclusivamente da propriedade e expõem perigosamente contas privadas
- Tokens fracos permitem que invasores adivinhem links válidos e obtenham acesso às contas de outros usuários
- Mensagens de texto criptografadas continuam sendo uma base frágil para autenticação de contas
Muitos serviços online dependem agora de links ou códigos de login enviados por mensagens de texto em vez de senhas tradicionais, o que reduz as etapas envolvidas no acesso a uma conta e evita que invasores mantenham bancos de dados de senhas que são frequentemente violadas.
Apesar da sua conveniência, o SMS continua a ser um canal de comunicação não encriptado, vulnerável à interceção, reutilização e exposição a longo prazo.
E agora, uma nova análise técnica analisou mais de 322 mil URLs únicos de mais de 33 milhões de SMS ligados a mais de 30 mil números de telefone, encontrando mensagens relacionadas com pelo menos 177 serviços digitais, incluindo plataformas que oferecem cotações de seguros, listas de empregos e referências pessoais.
Confortável, mas a que preço?
Mesmo em uma janela limitada de observação usando gateways públicos de SMS, a análise identificou exposição repetida de dados confidenciais do usuário em centenas de pontos de serviço.
A principal vulnerabilidade de segurança eram os sistemas de autenticação que consideravam a posse de uma URL entregue via SMS como prova de identidade suficiente.
Qualquer pessoa que obtivesse esse link poderia acessar as informações privadas do usuário sem verificação adicional, muitas vezes incluindo datas de nascimento, dados bancários e registros relacionados a crédito.
Os pesquisadores também descobriram que 125 serviços usavam tokens de baixa entropia, o que tornava possível adivinhar links válidos por meio da alteração de caracteres.
Alguns links permaneceram ativos por meses ou anos, espalhando o risco além da tentativa inicial de login.
Além disso, as incompatibilidades entre os elementos visíveis da interface e as solicitações de dados de back-end resultaram em uma sobrecarga desnecessária de informações pessoais.
O número de serviços afetados é subestimado, dada a visibilidade limitada proporcionada pelos gateways SMS públicos.
O tráfego de SMS viaja sem criptografia, e divulgações anteriores mostraram que as mensagens de texto armazenadas podem ser acessíveis muito depois da entrega.
Apesar de suas limitações bem conhecidas, a autenticação baseada em SMS continua a se espalhar devido à sua conveniência percebida e à dependência reduzida do armazenamento de senhas.
Dos cerca de 150 fornecedores contactados durante o estudo, apenas 18 reconheceram as deficiências reportadas e um número ainda menor implementou ações corretivas.
Estas mudanças supostamente reduziram a exposição de dezenas de milhões de utilizadores, embora a maioria dos serviços não tenha oferecido uma resposta pública.
As defesas fáceis de usar, como um firewall, pouco fazem para mitigar os riscos representados por uma lógica de autenticação defeituosa.
Além disso, as ferramentas de remoção de malware oferecem pouca proteção quando o acesso requer apenas um link válido.
As descobertas levantam questões sobre como os serviços de proteção contra roubo de identidade avaliam as ameaças decorrentes das escolhas de design, em vez de arriscar a responsabilização direta.
Estes problemas realçam a dependência estrutural dos prestadores de serviços para corrigir vulnerabilidades que são invisíveis para os utilizadores afetados.
Siga o TechRadar no Google Notícias e adicione-nos como sua fonte padrão para receber notícias, opiniões e opiniões de nossos especialistas em feeds. Certifique-se de clicar no botão Continuar!
E é claro que você também pode Siga o TechRadar no TikTok para receber notícias, análises, unboxings de vídeos e receber atualizações regulares nossas WhatsApp também
