Az utóbbi hetekben a világot a zsarolóvírusoktól való félelem foglalta le, pedig létezik egy hasonlóan komoly biztonsági rés, amely a mobilcégek SMS-szolgáltatásait érinti. A sérülékenység segítségével a banki azonosító kódokat tartalmazó SMS-üzeneteket sikerült más telefonszámra átirányítani, és így a bűnözők pénzt tudtak lopni német bankszámlákról.
Mindehhez a támadóknak ismerniük kellett a kiszemelt célszemély banki adatait, mobilszámát, és hozzá kellett férniük a többek között a szöveges üzenetek továbbítását szabályozó SS7 protokollhoz. A banki adatokat, mobilszámot adathalász-támadással szerezték meg, az SS7 protokollhoz való hozzáférést pedig egyszerűen megvásárolták a német O2 Telefonica egyik külföldi partnerétől.
A Signaling Systrem 7 protokollt 1975-ben fejlesztették ki, és ezt az „őskövületet” azóta világszerte több mint 800 vezetékes és mobiltávközlési szolgáltató használja. Az SS7 szabályozza a hívástovábbítást, a számlázást, az SMS-küldést. Segítségével állapítják meg, hogy egy SIM-kártya még mindig használatban van-e.
Lehetővé teszi a számok hordozását, hogy a szolgáltatók egy mobiltelefon földrajzi helyzetét bemérjék 50 méteres pontossággal. Erre azért van szükség, hogy a szolgáltató az egyik adótoronyból a másiknak át tudja adni a hívást – ez az autósoknak tesz jó szolgálatot.
A kihasználható sérülékenységet 2014-ben ismertették nyilvánosan, előtte állítólag a titkosszolgálat használta a célszemélyek tartózkodási helyének megállapítására, illetve a beszélgetések lehallgatására. Az immár negyvenkét éves SS7 biztonsága azon az előfeltételezésen alapult, hogy a technológia csak a távközlési szolgáltatók számára elérhető, és nem fér hozzá a nagyközönség.
A német G Data kiberbiztonsági cég szakemberi arra hívják fel a figyelmet, hogy az SMS-ekben kiküldött kódok helyett a bankoknak más módszert kellene használniuk a kétlépcsős azonosításra.
A szakemberek a hardveres biztonsági tokenek vagy a Google Authenticatorhoz hasonló mobilalkalmazások bevezetését javasolják. Addig is a távközlési vállalatok felelőssége az SS7-ről más, biztonságosabb protokollokra áttérni.