Laut einem Bericht von Northeastern Global News, einer Forschungsgruppe unter der Leitung eines Doktoranden der Northeastern University in den USA Evangelos Bitsikashat den Fehler aufgedeckt.
Bitsikas nutzte ein maschinelles Lernprogramm, um Daten aus dem SMS-System zu sammeln, das seit Anfang der 1990er Jahre das Versenden von SMS an und von Mobiltelefonen unterstützte.
„Allein dadurch, dass man die Telefonnummer des Benutzeropfers kennt und über einen normalen Netzwerkzugriff verfügt, kann man dieses Opfer lokalisieren. Letztendlich führt dies dazu, dass der Benutzer an verschiedenen Standorten weltweit verfolgt wird“, bemerkte Bitsikas.
Er erwähnte, dass sich die SMS-Sicherheit seit ihrer Einführung für 2G-Netze vor fast 30 Jahren leicht verbessert habe. Immer wenn ein Benutzer eine Textnachricht erhält, sendet sein Smartphone sofort eine Benachrichtigung an den Absender. Smartphones senden diese Benachrichtigung als Empfangsbestätigung.
Wie Hacker diesen Fehler ausnutzen können
Dem Bericht zufolge kann die von Bitsikas verwendete Methode von Kriminellen genutzt werden, um Benutzer zu spammen, indem sie mehrere Textnachrichten an mehrere Nummern senden. Hacker werden in der Lage sein, den Standort anhand der Zeitpunkte der automatischen Zustellungsantworten ihrer Smartphones zu triangulieren. Der Bericht stellt außerdem fest, dass Angreifer den Standort der Benutzer auch dann verfolgen können, wenn ihre Kommunikation verschlüsselt ist.
„Sobald das maschinelle Lernmodell etabliert ist, ist der Angreifer bereit, ein paar SMS-Nachrichten zu versenden. Die Ergebnisse sind.“ gefüttert in das maschinelle Lernmodell ein, das mit dem vorhergesagten Standort antwortet“, sagte Bitsikas.
Abgesehen davon hat Bitsikas Berichten zufolge keine aktive Ausnutzung dieser Schwachstelle entdeckt. „Das bedeutet nicht, dass (Hacker) es später nicht nutzen werden“, warnte er.
In dem Bericht wurde erwähnt, dass die Sicherheitslücke bereits ausgenutzt wurde Android Betriebssysteme. Das Verfahren könnte jedoch schwierig zu skalieren sein, da Betrüger Android-Geräte an mehreren Standorten benötigen. Darüber hinaus müssen diese Geräte weiterhin stündlich Nachrichten senden und die Angreifer müssen die Antworten berechnen, um den Standort zu ermitteln. Der Bericht fügte außerdem hinzu, dass die Entschlüsselung einer Sammlung von Fingerabdrücken mehrere Tage dauern kann, je nachdem, wie viele Fingerabdrücke der Angreifer sucht.