Los sistemas de verificación online basados en móvil exponen millones de dólares
Un informe ha expuesto errores en los sistemas de Instagram, Microsoft y Google.
Identificar llamadas con cargos premium de llamada es bastante difícil para los usuarios, pero además de este obstáculo, puede existir otro factor que les desaliente: el hecho de que pueden manipularse para robar millones de dólares mediante estos sistemas que utilizan Google, Microsoft o Instagram.
Muchas websites y aplicaciones de móvil permiten a los usuarios asociarse a un número con su cuenta. De esta forma, puede utilizarse una autentificación de dos pasos o como opción de cuenta de recuperación. Muchos de estos sistemas se basan en códigos de texto enviados por mensajes, pero también ofrecen la opción de llamar al usuario y dictarle los códigos.
El año pasado, un consultor de seguridad TI llamado Arne Swinnen empezó a investigar si estos sistemas de números introducidos por los usuarios pueden tener cargos extras Premium adjuntos (como si llamasen a un número igual de caro que aquellos que ofrecen un servicio).
Después de analizar Instagram, Swinnen descubrió que cuando a uno de sus usuarios le envían un código de autentificación y no lo introduce en tres minutos, su servicio tiene programado llamarles para comunicárselo verbalmente. Además, Swinnen encontró una forma de interferir las llamadas, que se realizan desde California y duran 17 segundos, mediante el uso de una API cada 30 segundos.
Para ello, el consultor creo un número de teléfono que costaba 0,06 céntimos por minuto y que costaba un total de una libra cada 17 minutos al abusar del sistema de Instagram. Este ataque se puede automatizar mediante el registro adicional de números así como de cuentas de Instagram.
Facebook, dueña de Instagram, declaró en un principio al desarrollador que esto no suponía una vulnerabilidad, ya que monitorizan y bloquean este tipo de ataques, por lo que solo se aceptan llamadas de un riesgo aceptable. Aun así, la empresa de la red social limitó después el límite de las llamadas e hizo algunos cambios en su servicio de llamadas salientes; también recompensó al investigador con 2.000 dólares.
En febrero, el investigador informó de un ataque similar a Google en su servicio de doble autentificación basado en móvil, aunque en este caso el proceso era más complicado. Swinnen calculó que podía robar 12 euros al día con una sola cuenta de Google junto con un teléfono de tarifa especial, cantidad que podría ser multiplicada mediante el registro de más números y cuentas. Google contestó al informe explicando que tiene sistemas de mitigación, ya que es imposible prevenir completamente este tipo de abusos.
Microsoft Office 365 ha sido hasta el momento el más vulnerable a estos ataques. El analista encontró dos métodos diferentes para hacer un bypass al límite de llamada de la web (que la protege de estos ataques), lo cual le permitía, en teoría, utilizar el mismo número para hacer más de 13 millones de llamadas.
Adicionalmente, el servicio permitiría a las llamadas concurrentes durar cerca de 23 segundos. Con un número que cobraba 0,15 céntimos al minuto, el analista podía ganar más de un euro al minuto.
Microsoft ha declarado que el impacto de esta vulnerabilidad habría repercutido en un partner suyo encargado del servicio de las llamadas; este proveedor decidió recompensar a Swinnen con 500 dólares y ha empezado a trabajar en el problema de seguridad.
Mientras que este tipo de ataque ya se ha mitigado en Instagram, Google y Microsoft, hay muchos otros servicios que pueden ser vulnerables a este tipo de abuso. La investigación de Swinnen, que ha publicado el lunes pasado, señala como de difícil es para las compañías el diferenciar entre un número de teléfono normal y uno de tarifa superior.
