Guia de tecnologias

Falha SS7 permite invadir contas do Facebook apenas com o número

7 min read Segurança Atualizado 06 Oct 2025
Falha SS7 permite invadir Facebook só com número
Falha SS7 permite invadir Facebook só com número

Ilustração da arquitetura SS7 e interceptação de chamadas móveis

Sumário

  • Como invasores podem usar a falha SS7 para roubar sua conta do Facebook
  • Passo a passo do ataque contra o Facebook
  • Por que a falha SS7 não foi corrigida globalmente
  • O que você pode fazer agora: checklist e meios de mitigação

Como invasores podem usar a falha SS7 para roubar sua conta do Facebook

Definição rápida: SS7 (Signaling System No. 7) é um conjunto de protocolos de sinalização usados pelas operadoras desde 1975 para estabelecer chamadas, rotear SMS, gerenciar portabilidade de números e outras funções da rede telefônica pública (PSTN).

Pesquisadores demonstraram que é possível controlar o fluxo de mensagens e chamadas explorando o SS7. Com isso, um atacante que consiga acesso a elementos da rede — ou a serviços que emulam essa funcionalidade — pode fazer com que mensagens SMS e códigos de verificação sejam encaminhados para um dispositivo sob seu controle. O resultado: códigos de autenticação enviados pelo Facebook podem chegar ao atacante, permitindo redefinição de senha e tomada da conta.

O problema é antigo: relatos de vulnerabilidades em SS7 existem desde 2008 e, em 2014, reportagens mostraram que agências e atores não estatais conseguiam rastrear usuários com uma taxa de sucesso citada em torno de 70% em certos cenários. Ainda assim, a correção exige coordenação global entre operadoras, equipamento e governos.

Passo a passo do ataque contra o Facebook

  1. O invasor explora a falha SS7 para manipular como a rede roteia chamadas e SMS do número da vítima.
  2. No Facebook.com, o invasor usa o link “Forgot Account?” para iniciar recuperação da conta pedindo envio de um código para o número da vítima.
  3. A rede, comprometida ou enganada, encaminha o SMS com o código temporário para o dispositivo do atacante.
  4. Com o código em mãos, o invasor finaliza a redefinição e passa a controlar a conta.

Observação técnica: além do redirecionamento de SMS, o mesmo vetor permite interceptar chamadas e, em alguns cenários, forçar liberação de chaves temporárias por certas infraestruturas, facilitando decodificação de comunicações gravadas.

Veja uma demonstração técnica do processo no vídeo dos pesquisadores:

https://youtu.be/wc72mmsR6bM

Por que a falha SS7 não foi corrigida globalmente

A correção do SS7 exige atualização e coordenação entre milhares de redes e fornecedores ao redor do mundo. Há três causas principais para a demora em corrigir:

  • Complexidade operacional: equipamentos legados e interconexões internacionais tornam atualizações arriscadas e dispendiosas.
  • Incentivos políticos: agências de segurança de alguns países preferem manter acesso para vigilância legítima ou não, o que reduz pressão para corrigir rapidamente.
  • Modelo de responsabilidade dispersa: não existe um único provedor responsável por implementar uma correção universal; cada operadora precisa aplicar mudanças localmente.

Importante: relatos de 2014 indicaram que tanto agências governamentais quanto atores privados já exploraram vulnerabilidades do SS7 para rastrear usuários.

Quando esse ataque falha: contramedidas que impedem o sequestro por SMS

  • Se a conta do Facebook estiver protegida com um aplicativo de autenticação (TOTP) ou chave de segurança física (U2F/FIDO2), o atacante não conseguirá entrar apenas com o código SMS.
  • Se o provedor do número tiver bloqueios de portabilidade ou PIN de desbloqueio do SIM ativados, ataques de troca de SIM ou redirecionamento podem ser mais difíceis.
  • Se o método de recuperação do Facebook usar e‑mail ou outros fatores além do SMS, o atacante pode ser impedido.

Medidas práticas para usuários (checklist)

Para qualquer usuário que queira reduzir o risco imediato:

  • Ative a autenticação por aplicativo (Google Authenticator, Authy) no Facebook e em outros serviços.
  • Cadastre e exija chaves de segurança física (por exemplo, chaves FIDO2) quando possível.
  • Ative PIN/PUK e bloqueio contra portabilidade na sua operadora; peça “port freeze” ou “sim lock” se disponível.
  • Use senhas únicas e um gerenciador de senhas.
  • Remova números de telefone como fator primário de recuperação sempre que puder; prefira e‑mail e apps de autenticação.
  • Monitore sessões ativas no Facebook e revogue dispositivos desconhecidos.

Para administradores e equipes de segurança:

  • Reforce políticas de MFA: prefira métodos não baseados em SMS.
  • Exija chaves de segurança para contas com privilégio elevado.
  • Audite logs e alertas de mudança de número e recuperação de conta.
  • Coordene com provedores de telecom para implementar detecção de anomalias em sinalização.

Abordagens alternativas e heurísticas para proteção

  • Heurística de prioridade: sempre que possível, substitua SMS por um gerador de código (TOTP) ou por chaves de hardware. SMS deve ser fallback, não primário.
  • Abordagem em camadas: combine autenticação forte com monitoramento ativo de contas e limites de recuperação.
  • Mental model: trate o número de telefone como um identificador público, não um segredo; proteja fatores vinculados a ele com controles adicionais.

Modelo de ameaça e quando agir

Maturidade de risco (orientação qualitativa):

  • Baixo: usuário comum com poucos privilégios — aplicar autenticação por app e bloquear portabilidade.
  • Médio: contas com dados sensíveis — exigir chaves U2F e monitoramento.
  • Alto: perfis públicos, políticos ou jornalistas — minimizar o uso de SMS, coordenar proteção com operadora e equipe legal.

Fato rápido

  • SS7 foi desenvolvido em 1975.
  • Vulnerabilidades conhecidas desde 2008.
  • Reportagens de 2014 indicaram rastreamento com taxa de sucesso aproximada de 70% em certos cenários.

Segurança: práticas para operadoras e plataformas

Operadoras e plataformas devem:

  • Implementar filtragem e monitoramento de anomalias em sinais SS7.
  • Oferecer bloqueio de portabilidade e PIN explícito para clientes.
  • Reduzir confiança em SMS para recuperação de conta; oferecer alternativas seguras.
  • Compartilhar indicadores de ataque (IOCs) com outras operadoras.

Privacidade e conformidade (observações rápidas)

Se você suspeita que sua conta foi comprometida por meio de SMS ou SS7, reúna evidências (registros de login, horas, mensagens) e contate o controlador de dados (provedor/operadora). Em jurisdições com GDPR, você pode solicitar informações sobre o tratamento de seus dados e registrar reclamação junto à autoridade de proteção de dados.

Contraexemplos e limitações do ataque

  • Ataque baseado em SS7 não funciona se a plataforma exige segundo fator não-SMS.
  • Nem todos os agentes maliciosos têm acesso a infraestrutura que permite explorar SS7; é mais provável quando há falha de segurança em provedores ou acesso a serviços de sinalização.

Lista de verificação rápida para recuperação após invasão

  1. Troque a senha do Facebook a partir de um dispositivo confiável.
  2. Revogue sessões ativas e troque tokens de app.
  3. Remova métodos de recuperação controlados pelo atacante.
  4. Ative autenticação por app ou registre chave de segurança.
  5. Contate sua operadora para investigar redirecionamento/portabilidade não autorizados.

Glossário em uma linha

  • SS7: protocolo de sinalização usado por operadoras para chamadas e SMS.
  • PSTN: rede telefônica pública comutada.
  • IMSI-catcher: equipamento que imita torre celular para interceptar conexões.
  • SIM swap: técnica de fraude que transfere um número para outro SIM.
  • TOTP: código temporário gerado por aplicativo de autenticação.

Resumo final

A falha SS7 permite que invasores recebam códigos enviados por SMS e tomem contas do Facebook usando apenas um número. A solução do problema em nível global é complexa e política, mas você pode reduzir o risco agora: remova SMS como fator primário, use apps de autenticação ou chaves físicas e ative proteções junto à operadora.

Importante: atualizar comportamentos de autenticação e coordenar com sua operadora pode bloquear a maioria dos ataques descritos.

Leia também: This Hack Tool Uses SS7 Flaw to Trace Call, Location Of Every Single Mobile Phone

Compartilhar: X/Twitter Facebook LinkedIn Telegram
Autor
Edição

Materiais semelhantes

Instagram Reels: aumentar alcance e engajamento
Marketing

Instagram Reels: aumentar alcance e engajamento

Ativar e usar Copilot Mode no Microsoft Edge
Navegadores

Ativar e usar Copilot Mode no Microsoft Edge

Comprimir arquivos para tamanho mínimo
Compressão de Arquivos

Comprimir arquivos para tamanho mínimo

Áreas de trabalho virtuais no Chrome OS
Tutoriais

Áreas de trabalho virtuais no Chrome OS

Desativar legendas no Peacock TV
Streaming

Desativar legendas no Peacock TV

Falha SS7 permite invadir Facebook só com número
Segurança

Falha SS7 permite invadir Facebook só com número