关于此主题已经有几篇文章-
连接到公共Wi-Fi网络时如何绕过SMS识别? 再次:不要使用公共WiFi ,但是会出现新的授权方法,因此现在该再次讨论它。 最近,在莫斯科的一家咖啡馆,我遇到了一种陌生的登录网络方式。 立即希望检查是否可以绕过此授权,以及它如何威胁到普通百姓。
法律要求在连接到俄罗斯的公共Wi-Fi网络时验证身份。 有几种方法,其中最流行的一种-输入来自SMS的代码或输入接收呼叫的电话号码的最后一位。 但是,该咖啡馆使用了wifi-way.ru服务提供的授权,该授权的工作方式略有不同。 要求用户指出他的电话号码,然后从他拨打此服务的号码。 建立连接后,呼叫将被挂断,用户将得到授权。
看来这是一种方便的方法:该公司不花钱发送短信,只需购买电话号码并跟踪来电。 但是,至少有一个严重的陷阱-使用号码更改拨打电话的基本可能性。
现有的移动网络实现方式使您可以使用任意的主叫方ID(主叫方的电话号码)开始通话,此后,被叫用户将收到具有更改的主叫方号码的呼叫。 这是由于移动网络建立在信任之上。 详细信息超出了本文的讨论范围;在这里足以提及要进行此类呼叫,您可以长时间研究PBX设置,或者仅使用某种服务来进行号码更改和一点点“魔术”即可拨打俄语数字。
一个极其复杂的授权旁路看起来像这样:
- 网络连接
- 电话号码指示
- 用上一段落中的呼叫者ID替换呼叫者ID
似乎这是一种相当复杂的访问Internet的方式,如果您不想将电话号码提供给此类公司(并且它们也将其出售给企业所有者,欢迎来到潜在的垃圾邮件世界),那么无需护照就可以购买SIM卡。 但是主要的不是访问互联网本身,而是使用其他人的电话号码访问。 前面的两篇文章介绍了访问现有“会话”连接的方式,因此您根本无法使用公共Wi-Fi并和平生活。 在这种情况下,攻击者可以指定任何电话号码,在某处发布呼吁极端主义或日本艺术家作品的呼吁,然后一切都取决于运气。
如果使用的是外国的,不存在的或“精英”号码,那么尽管公司可能会收到许多有趣的问题,说明他们为什么在数据库中使用此号码,但没人会受苦。 但是,如果他们使用这种授权方法并将其出售,那么他们显然已经准备好了。
但是,如果该号码的正式所有者居住在这座城市,那么一切都会更加有趣。 可能唯一的机会是试图说服调查人员和法院通过移动运营商的日志检查该呼叫是否实际上是使用用户的SIM卡拨打的。 但这已经可以使您花费大量时间和精力。
另一个有趣的一点是,该号码的所有者无法发现其号码已用于授权:他不会收到带有密码的可疑消息或来自未知号码的呼叫。 在最坏的情况下,调查员会这样说。
我写信给wifi-way.ru,以了解他们对此的看法。 答案是意料之中的:我们知道号码更改的可能性,系统将保存来自移动网络的号码。
很难添加一些内容,我只希望每个人在授权期间不会被攻击者使用的好运和快乐的电话号码。
关于公司对人员(而非用户)安全负责的深刻个人观点有必要根据公司是仅与用户合作还是与无限人群合作来明确区分公司。 如果仅向已注册并接受协议的人员提供该服务,例如“我们不做安全性,使用泄漏技术,可能会被黑客入侵,欢迎遭受屈辱的爱好者俱乐部”,那么该公司将有权不解决漏洞和潜在问题。 尽管在某些情况下可以受到法律的制裁,但这是另一回事了。
但是,还有其他公司:如果在此类服务中使用了漏洞,那么即使他本人未使用此类服务,任何人都可能遭受痛苦。 这包括由许多付费订阅者诅咒的政府服务,以及公共网络中的授权系统。 尽管我没有听说过那些通过公共网络写成代表极端主义的人受到的惩罚,在某些系统上进行了袭击,或者最糟糕的是,日本艺术家的作品已经出版,但我绝对不能保证这不会发生,受害者将有机会找借口。
因此,我深信,其作为或不作为可能会影响那些未与之达成协议的公司,这些公司应尽可能使用安全技术或受到社会的惩罚。 不幸的是,人们不应该忘记人们的惯性和他们愿意忽视所有安全问题,直到他们自己触摸它们。 这表明公司可以在几天之内对每个人,每个人的忘却和忘记的安全进行评分。 但这是另一篇可悲的文章的主题。