O Facebook é a rede social mais popular da actualidade e nesse sentido devia ser também uma das mais seguras. No entanto, uma falha no protocolo SS7 permite que alguém mal intencionado consiga aceder à sua conta.

Para tal basta saber o seu número de telefone e usar “alguns truques”.

De acordo com a equipa de segurança da Positive Technologies, basta ter o número de telemóvel da vitima para comprometer a sua conta no Facebook. Tal é possível graças a uma vulnerabilidade no protocolo SS7.

O que é o protocolo SS7?

O protocolo de sinalização SS7 (Signalling System No. 7) foi desenvolvido em 1975 e é usado à escala mundial para definir como as redes públicas de telefone comutadas (PSTN) conseguem trocar informação sobre uma rede digital. Este protocolo é amplamente usado entre as várias redes de telemóveis mas, de acordo com vários especialistas, há informação que fica “facilmente” acessível, como por exemplo informação sobre SMS e outra.

A falha deste protocolo é conhecida desde 2014 e tem sido explorada nos mais diversos serviços ( ler: Parece impossível, mas é fácil ouvir conversas entre smartphones).

Como é feito o “ataque”?

Basicamente o atacante só tem de ir à página do Facebook e carregar em “Forgot account?”. De seguida deverá indicar o número de telemóvel da vítima e conseguir “desviar” a entrega da resposta. O código de acesso é enviado pelo Facebook através de uma SMS.

A Positive Technologies disponibilizou, em vídeo, uma prova de conceito do ataque.

Enquanto o protocolo SS7 não for revisto, continuarão a ser descobertas vulnerabilidades que afectarão a segurança dos mais diversos serviços. O SS7 já colocou em causa serviços como o WhatsApp, Facebook, entre outros. Até ao momento não há qualquer solução para este problema.