El número de teléfono parece haber sido secuestrado temporalmente

2

Qué pasó:

  • A las 8:40 am, Telegram me envía un código de inicio de sesión a través de la aplicación de escritorio de Telegram.
  • A las 8:44 am, Telegram me informa que alguien ha iniciado sesión en mi cuenta a través de la dirección IP # 1 (parece ser PIA vpn)
  • Inmediatamente, voy a revocar el acceso y comienzo el proceso de configuración
    hasta 2fa con una contraseña.
  • A las 8:45 am, Telegram me envía un código de inicio de sesión a través de la aplicación de escritorio de Telegram.
  • A las 8:46 am, Telegram me envía un código de inicio de sesión a través de la aplicación de escritorio de Telegram. En algún lugar alrededor de este tiempo, deshabilito el wifi en mi teléfono y observo que mi teléfono no se está conectando al móvil Internet.
  • A las 8:48 am, Telegram me informa que alguien ha iniciado sesión mi cuenta a través de la dirección ip # 1
  • A las 8:48 am, Telegram me informa que alguien ha iniciado sesión en mi cuenta a través de la dirección IP # 2
  • Revoco el acceso a ambos.

  • Terminé de configurar 2fa.

  • Reinicio mi teléfono, mi internet móvil está de vuelta y recibo 2 smses informándome que mi configuración de servicio MMS y WAP ha llegado. Estas configuraciones parecen legítimas.

Otra información importante:

  • Mi compañía telefónica dice que nadie los ha contactado / no se modificaron las configuraciones en su final. De lo contrario, no han sido de mucha ayuda.
  • El registro de mis sms en el sitio web de la compañía telefónica muestra dos sms recibidos de Telegram que nunca vi y nunca llegué a mi teléfono. Sé que este es el número de Telegram porque pasé por el proceso de inicio de sesión en la interfaz web de Telegram.
  • Ninguna aplicación extraña tiene permisos de acceso a SMS en el teléfono.
  • Las aplicaciones antivirus no muestran nada.
  • Galaxy S8 +, actualizado, no rooteado
  • Ningún otro ataque, ninguna otra cuenta parece haber sido comprometida.

Preguntas:

  1. ¿Se han reportado ataques como este antes? (no puedo encontrar ninguno)
  2. ¿Qué más puedo hacer para tratar de averiguar qué sucedió?

Me doy cuenta de que también es probable que mi teléfono sea de propiedad o que exista una vulnerabilidad de telegrama. Cualquier otra información sería útil.

    
pregunta rhythmthumper 18.07.2018 - 00:04
fuente

1 respuesta

1
1. Have any attacks like this been reported before? (can't find any)

Es posible el 'secuestro' de tarjetas SIM, se puede usar un código PAC cuando se transfiere un número actual a una red existente diferente. Sin embargo, al transferir el número actual a otra tarjeta SIM (la misma red), esto puede ser un proceso rápido. Sugerencias técnicas de Linus experimentaron este tipo de secuestro.

Aunque, esto implicaría la desactivación de la tarjeta SIM anterior, por razones de seguridad. Así que esto suena menos viable dado lo que describiste.

2. What else can I do to try to figure out what happened?

Los Samsung Galaxy S8 se enviaron con Android 8.0 y superior. Así que el sandboxing fue introducido para entonces. Revise todas las aplicaciones instaladas que tengan permisos de SMS, o cualquier permisos que pueda elevar, controlar y Hacer llamadas telefónicas y / o leer SMS.

Menos probable, pero su versión de Android podría contener una vulnerabilidad, revise CVE para su versión de Android. Que puede haber proporcionado un vector de ataque para acceder a sus mensajes SMS. Al rootear un dispositivo Android, solo lo sabemos porque el kernel modificado no tiene un código firmado. Sin embargo, si se identificó una vulnerabilidad que permitiera un jailbreak, la escalada de privilegios podría ocurrir sin el conocimiento del usuario. Aunque, esto es simplemente una especulación, y es particularmente improbable que esté ejecutando algún tipo de software espía.

    
respondido por el safesploit 18.07.2018 - 00:49
fuente

Lea otras preguntas en las etiquetas