- Tautan masuk SMS hanya bergantung pada kepemilikan, sehingga akun pribadi dapat terekspos secara berbahaya
- Token yang lemah memungkinkan penyerang menebak tautan yang valid dan mengakses akun pengguna lain
- Pesan teks yang tidak terenkripsi tetap menjadi fondasi yang rapuh untuk otentikasi akun
Banyak layanan online kini mengandalkan tautan masuk atau kode yang dikirimkan melalui pesan teks, bukan kata sandi tradisional, sehingga mengurangi langkah-langkah selama akses akun dan menghindari penyimpanan basis data kata sandi, yang sering dilanggar oleh penyerang.
Terlepas dari kemudahannya, SMS tetap merupakan saluran komunikasi yang tidak terenkripsi, sehingga rentan terhadap intersepsi, penggunaan kembali, dan paparan jangka panjang.
Dan sekarang, yang baru tinjauan teknis telah memeriksa lebih dari 322.000 URL unik yang diambil dari lebih dari 33 juta pesan SMS yang dikaitkan dengan lebih dari 30.000 nomor telepon, dan menemukan pesan-pesan tersebut tertaut ke setidaknya 177 layanan digital, termasuk platform yang menawarkan penawaran asuransi, daftar pekerjaan, dan referensi pribadi.
Nyaman tetapi berapa biayanya?
Bahkan dalam jangka waktu observasi terbatas yang menggunakan gateway SMS publik, tinjauan tersebut mengidentifikasi paparan berulang terhadap data sensitif pengguna di ratusan titik akhir layanan.
Kelemahan keamanan utama melibatkan sistem otentikasi yang memperlakukan kepemilikan URL yang dikirimkan SMS sebagai bukti identitas yang memadai.
Siapa pun yang memperoleh tautan tersebut dapat mengakses informasi pribadi pengguna tanpa verifikasi lebih lanjut, yang sering kali mencakup tanggal lahir, rincian perbankan, dan catatan terkait kredit.
Para peneliti juga mengamati bahwa 125 layanan menggunakan token dengan entropi rendah, yang memungkinkan untuk menebak tautan yang valid dengan mengubah karakter.
Beberapa tautan tetap aktif selama berbulan-bulan atau bahkan bertahun-tahun, sehingga meningkatkan risiko melebihi upaya login awal.
Selain itu, ketidaksesuaian antara elemen antarmuka yang terlihat dan permintaan data backend menyebabkan pengambilan informasi pribadi yang berlebihan.
Jumlah layanan yang terkena dampak mungkin tidak terlalu besar, mengingat sempitnya visibilitas yang disediakan oleh gateway SMS publik.
Lalu lintas SMS berjalan tanpa enkripsi, dan pengungkapan sebelumnya menunjukkan bahwa pesan teks yang disimpan dapat tetap dapat diakses lama setelah pengiriman.
Meskipun ada batasan yang diketahui, autentikasi berbasis SMS terus berkembang karena kenyamanan yang dirasakan dan berkurangnya ketergantungan pada penyimpanan kata sandi.
Dari sekitar 150 penyedia layanan kesehatan yang dihubungi selama penelitian, hanya 18 penyedia layanan yang mengakui kelemahan yang dilaporkan, dan bahkan lebih sedikit lagi yang menerapkan tindakan perbaikan.
Perubahan tersebut dilaporkan mengurangi paparan terhadap puluhan juta pengguna, meskipun sebagian besar layanan tidak memberikan tanggapan publik.
Pertahanan sisi pengguna, seperti a firewalltidak berbuat banyak untuk mengurangi risiko yang ditimbulkan oleh logika autentikasi yang cacat.
Demikian pula, alat penghapus malware menawarkan sedikit perlindungan ketika akses hanya memerlukan tautan yang valid.
Temuan ini menimbulkan pertanyaan tentang bagaimana caranya perlindungan pencurian identitas layanan menilai ancaman yang berasal dari pilihan desain, bukan kompromi akun langsung.
Masalah-masalah ini menyoroti ketergantungan struktural pada penyedia layanan untuk memperbaiki kelemahan yang sebagian besar tidak terlihat oleh pengguna yang terkena dampak.
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
