17 июня, 2016, http://www.gazeta.ru/tech/2016/06/17/8312789/ss7.shtml
- Система сигнализации № 7, или ОКС-7 (общий канал сигнализации № 7, англ. Common Channel Signaling) — набор сигнальных телефонных протоколов, используемых для настройки большинства телефонных станций (PSTN и PLMN) по всему миру.
Систему обычно называют ОКС-7, в Европе говорят об SS7 (англ. Signaling System #7), а в Северной Америке её называют CCS7 (англ. Common Channel Signaling System 7). В некоторых европейских странах, особенно в Великобритании, говорят о C7 (CCITT номер 7) или о номере 7 и о CCITT7. В Германии её называют N7 от немецкого Signalisierungssystem Nummer 7.
Уязвимость в протоколе системы Signalling System No.7 (SS7 или ОКС-7), разработанной в 1975 году, позволяет перенаправлять SMS-сообщения, которые соцсети отправляют для восстановления пароля.
Ранее, когда только система начинала свое существование, это не являлось проблемой, так как сеть SS7 была замкнутой и в ней работали только фиксированные операторы. Сейчас практически любой человек может получить операторскую лицензию на черном рынке или в той стране, где эта процедура наиболее простая. Также есть и другие способы получить SS7-шлюз, что в очередной раз говорит об уязвимости системы, используемой для настройки большинства телефонных станций по всему миру.
Наиболее важно то, что злоумышленнику не надо находиться рядом с абонентом, как в случае с поддельной базовой станцией, поэтому вычислить его практически невозможно.
В целом примеров того, что может сделать злоумышленник благодаря уязвимостям сети, масса, начиная от прослушки звонков и чтения SMS-переписки, что было прерогативой спецслужб, и заканчивая взломом соцсетей.
Согласно данным Positive Technology, входящие SMS-сообщения удавалось перехватить девять из десяти раз (89%). Несанкционированный запрос баланса также был возможен почти повсеместно (92% атак), а голосовые вызовы удавалось перехватить в половине случаев. Кроме этого, исследователям удавалось определить местоположение жертвы также в половине случаев.
В 94% случаев исследователям удавалось перенаправлять входящий вызов, а исходящий — в 45%. Перевести деньги со счета получалось в 64% случаев.