- Os links de login por SMS dependem apenas da posse, deixando contas privadas perigosamente expostas
- Tokens fracos permitem que invasores adivinhem links válidos e acessem contas de outros usuários
- Mensagens de texto não criptografadas continuam sendo uma base frágil para autenticação de contas
Muitos serviços online agora dependem de links ou códigos de login entregues por meio de mensagens de texto em vez de senhas tradicionais, o que reduz as etapas durante o acesso à conta e evita o armazenamento de bancos de dados de senhas, que os invasores costumam violar.
Apesar da conveniência, o SMS continua a ser um canal de comunicação não criptografado, o que o torna vulnerável à interceptação, reutilização e exposição a longo prazo.
E agora, um novo revisão técnica examinou mais de 322 mil URLs exclusivos extraídos de mais de 33 milhões de mensagens SMS vinculadas a mais de 30 mil números de telefone, encontrando mensagens vinculadas a pelo menos 177 serviços digitais, incluindo plataformas que oferecem cotações de seguros, listas de empregos e referências pessoais.
Conveniente, mas a que custo?
Mesmo dentro de uma janela de observação limitada usando gateways SMS públicos, a revisão identificou a exposição repetida de dados confidenciais do usuário em centenas de terminais de serviço.
A principal fraqueza de segurança envolvia sistemas de autenticação que tratavam a posse de uma URL entregue por SMS como prova suficiente de identidade.
Qualquer pessoa que obtivesse esse link poderia acessar informações privadas do usuário sem verificação adicional, que muitas vezes incluíam datas de nascimento, dados bancários e registros relacionados a crédito.
Os pesquisadores também observaram que 125 serviços utilizavam tokens com baixa entropia, o que possibilitava adivinhar links válidos por meio da alteração de caracteres.
Alguns links permaneceram ativos por meses ou até anos, estendendo o risco muito além da tentativa inicial de login.
Além disso, as incompatibilidades entre os elementos visíveis da interface e as solicitações de dados de back-end causaram a busca excessiva desnecessária de informações pessoais.
O número de serviços afetados é provavelmente subestimado, dada a visibilidade limitada fornecida pelos gateways SMS públicos.
O tráfego de SMS viaja sem criptografia, e divulgações anteriores mostraram que as mensagens de texto armazenadas podem permanecer acessíveis por muito tempo após a entrega.
Apesar desses limites conhecidos, a autenticação baseada em SMS continua a se expandir devido à conveniência percebida e à menor dependência do armazenamento de senhas.
Dos cerca de 150 prestadores contactados durante o estudo, apenas 18 reconheceram as deficiências comunicadas e um número ainda menor implementou ações corretivas.
Essas mudanças supostamente reduziram a exposição de dezenas de milhões de usuários, embora a maioria dos serviços não oferecesse resposta pública.
As defesas do lado do usuário, como um firewallfazem pouco para reduzir os riscos criados por uma lógica de autenticação falha.
De forma similar, ferramentas de remoção de malware oferecem pouca proteção quando o acesso requer apenas um link válido.
As descobertas levantam questões sobre como proteção contra roubo de identidade os serviços avaliam ameaças que resultam de escolhas de design, em vez de comprometimento direto da conta.
Estas questões realçam uma dependência estrutural dos prestadores de serviços para corrigir pontos fracos que permanecem em grande parte invisíveis para os utilizadores afetados.
Siga o TechRadar no Google Notícias e adicione-nos como fonte preferencial para receber notícias, análises e opiniões de especialistas em seus feeds. Certifique-se de clicar no botão Seguir!
E é claro que você também pode Siga o TechRadar no TikTok para notícias, análises, unboxings em formato de vídeo e receba atualizações regulares nossas em WhatsApp também.