سو استفاده اطلاعاتی از حساب‌های WhatsApp از طریق نقص‎های ارتباطات و مشکلات SS7

Print Friendly

مجله FORBES دیروز نموداری از تلاش‌های جاسوسی با زیان حدود ۲۰ میلیون دلار را منتشر کرد که از ضعف موجود در بخش مهمی از شبکه‌های ارتباطی به نام SS7(Signaling System 7)برای نفوذ، خبر می‎دهد. این شرکت اعلام کرد که می‌توان یک گوشی تلفن را در هر جایی از این کره خاکی فقط با یک شماره تلفن کنترل کرد.

شرکت Ability Inc. از طریق خلاءهای موجود در SS7 به نفوذگر ها این امکان را می‎دهد که در مکالمات و پیام‎های متنی کاربران جاسوسی کنند. برای این منظور نفوذگرها شبکه‎های عملیاتی را در تلفن‌های کاربران تبدیل به اتصالات نامنظم می‎کنند.

جاسوسانی که از این روش استفاده می‎کنند، نمی‎توانند رمزنگاری استفاده شده توسط واتس‎آپ، تلگرام  و سیگنال، سه برنامه دارای امنیت بالای معروف را بشکنند. قدرت رایانه‎ای و محاسباتی بالایی نیاز است تا بتوان فهمید ارتباطات کاربران چگونه رمزنگاری شده است و در بهترین حالت می‎توان از ماشین‎ها استفاده کرد تا فهمید کلیدهای رمزنگاری چگونه با استفاده از الگوریتم‎ها ساخته شده‌اند.

از طرف دیگر، رمزنگاری به معنی این است که حتی جایی که جاسوس‎ها قادرند اطلاعات کاربران را به ماشین‎های خود وارد کنند، باز هم اطلاعات قابل خواندن نخواهد بود. آناتولی هورجین، مدیر شرکت Ability گفته است که به مشتریان امکان دور زدن این نوآوری شبکه‌های اجتماعی را نمی‌دهد.

از طرف دیگر نفوذگرها اقدامات امنیتی رمزنگاری‌ها را با استفاده از SS7 خنثی خواهند کرد تا حساب‌های مشابهی را بسازند و از این طریق تمام پیام‌های تلفن حساب مشابه را دریافت کنند.

این کار با جا زدن شماره تلفن نفوذگر به جای شماره تلفن یک فرد خاص در شبکه‌های ارتباطی میّسر می‎شود، یعنی آن‎ها یک حساب جدید WhatsApp  یا تلگرام با شماره یکسان باز می‌کنند و کد به ظاهر مخفی کاربری را دریافت می‌کنند. از این طریق، آن‌ها می‌توانند خود را به جای آن فرد خاص جا بزنند و تماس‌ها و پیام‌های جدید را ارسال یا دریافت کنند.

این روش در دو ویدیوئی که توسط یک شرکت امنیتی روسی با نام Positive Technologies به مجله FORBES فرستاده شده، تایید شده است

برای محافظت از خود چه کنیم؟

با اینکه نفوذهای انجام شده توسط شرکت Positive، هر کسی را از استفاده‎ی نفوذگران از حسابهای  شبکه‎های اجتماعی اش می ترساند، اما ارزانی و امنیت آن‎ها نسبت به پیامک ساده، امری بدیهی است. استفاده از امکانات تماس در آن‌ها باید قاعدتاً اطلاعات شخص را از سوءاستفاده جاسوس‎ها حفظ کند، مگر اینکه نفوذگر تأثیر خوبی روی فرد داشته باشد و بتواند اطلاعات شخصی وی را از خود وی استخراج کند.

پژوهشگر حوزه امنیت Karsten Nohl که به دلیل کار در حوزه SS7 مشهور است، پیشنهاد می‌کند که در این برنامه‌های اجتماعی از رمزنگاری انتها به انتها استفاده شود که این ویژگی از سوءاستفاده طرف سوم در هدایت ارتباطات قابل خوانده شدن به تلفنش جلوگیری می‌کند.

کاربران حساس‎تر نیز به گفته Nohl باید هویت اصلی مخاطبان خود را کاملاً و به دقت از طریق کد، شناسایی کنند. این کار را می‌توانند از طریق مجموعه‌ای از حروف یا اعداد که همراه با حساب‌ها برای بررسی اعتبار، پیوست می‌شود، انجام دهند.

برای مثال، برخی از کاربران از حساب‌های توئیتر برای اعلام این روش استفاده می‎کنند. اگر این کد با کد موجود در حساب واتس‎آپ یکسان باشد، می توان تا حدودی اطمینان حاصل کرد که حساب مذکور دارای کاربر واقعی است. این کد چیزی شبیه کد PGP برای حساب رایانامه مانند زیر است:

۱۹A۰ ۳F۳۷ B۳B۷ ۴C۱E C۱D۱ ۹AA۴ ۵E۳۷ ۶۵۴C ۱۶۶۰ B۸۱۷.

در WhatsApp، این کدها دارای بخش‎های پنج حرفی هستند. شما می‌توانید کد کاربر را با کلیک روی گزینه «View Contact» و سپس «Verify security code» در قسمت منو که در گوشه بالا سمت راست مکالمات قرار دارد، ببینید. یکی از شرکت‌های تحت نظر Facebook نیز امکانی را فراهم کرده است که از طریق آن کاربران می‌توانند یک رمزینه  را اسکن کنند و از این طریق اطمینان حاصل کنند که آیا حساب‌ها واقعی بوده و ارتباط از دو طرف رمزنگاری می‌شود یا خیر. این نوع از بررسی به کاربران کمک می‌کند که از حملاتی که قبلاً توضیح داده شد، جلوگیری کنند.

0 مي پسندم

به اشتراک گذاری این مقاله


مطالب مرتبط

پاسخ دهید

براي ثبت ديدگاه خود مي توانيد با يکي از اکانت هاي خود وارد شويد



نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *