سو استفاده اطلاعاتی از حسابهای WhatsApp از طریق نقصهای ارتباطات و مشکلات SS7
مجله FORBES دیروز نموداری از تلاشهای جاسوسی با زیان حدود ۲۰ میلیون دلار را منتشر کرد که از ضعف موجود در بخش مهمی از شبکههای ارتباطی به نام SS7(Signaling System 7)برای نفوذ، خبر میدهد. این شرکت اعلام کرد که میتوان یک گوشی تلفن را در هر جایی از این کره خاکی فقط با یک شماره تلفن کنترل کرد.
شرکت Ability Inc. از طریق خلاءهای موجود در SS7 به نفوذگر ها این امکان را میدهد که در مکالمات و پیامهای متنی کاربران جاسوسی کنند. برای این منظور نفوذگرها شبکههای عملیاتی را در تلفنهای کاربران تبدیل به اتصالات نامنظم میکنند.
جاسوسانی که از این روش استفاده میکنند، نمیتوانند رمزنگاری استفاده شده توسط واتسآپ، تلگرام و سیگنال، سه برنامه دارای امنیت بالای معروف را بشکنند. قدرت رایانهای و محاسباتی بالایی نیاز است تا بتوان فهمید ارتباطات کاربران چگونه رمزنگاری شده است و در بهترین حالت میتوان از ماشینها استفاده کرد تا فهمید کلیدهای رمزنگاری چگونه با استفاده از الگوریتمها ساخته شدهاند.
از طرف دیگر، رمزنگاری به معنی این است که حتی جایی که جاسوسها قادرند اطلاعات کاربران را به ماشینهای خود وارد کنند، باز هم اطلاعات قابل خواندن نخواهد بود. آناتولی هورجین، مدیر شرکت Ability گفته است که به مشتریان امکان دور زدن این نوآوری شبکههای اجتماعی را نمیدهد.
از طرف دیگر نفوذگرها اقدامات امنیتی رمزنگاریها را با استفاده از SS7 خنثی خواهند کرد تا حسابهای مشابهی را بسازند و از این طریق تمام پیامهای تلفن حساب مشابه را دریافت کنند.
این کار با جا زدن شماره تلفن نفوذگر به جای شماره تلفن یک فرد خاص در شبکههای ارتباطی میّسر میشود، یعنی آنها یک حساب جدید WhatsApp یا تلگرام با شماره یکسان باز میکنند و کد به ظاهر مخفی کاربری را دریافت میکنند. از این طریق، آنها میتوانند خود را به جای آن فرد خاص جا بزنند و تماسها و پیامهای جدید را ارسال یا دریافت کنند.
این روش در دو ویدیوئی که توسط یک شرکت امنیتی روسی با نام Positive Technologies به مجله FORBES فرستاده شده، تایید شده است
برای محافظت از خود چه کنیم؟
با اینکه نفوذهای انجام شده توسط شرکت Positive، هر کسی را از استفادهی نفوذگران از حسابهای شبکههای اجتماعی اش می ترساند، اما ارزانی و امنیت آنها نسبت به پیامک ساده، امری بدیهی است. استفاده از امکانات تماس در آنها باید قاعدتاً اطلاعات شخص را از سوءاستفاده جاسوسها حفظ کند، مگر اینکه نفوذگر تأثیر خوبی روی فرد داشته باشد و بتواند اطلاعات شخصی وی را از خود وی استخراج کند.
پژوهشگر حوزه امنیت Karsten Nohl که به دلیل کار در حوزه SS7 مشهور است، پیشنهاد میکند که در این برنامههای اجتماعی از رمزنگاری انتها به انتها استفاده شود که این ویژگی از سوءاستفاده طرف سوم در هدایت ارتباطات قابل خوانده شدن به تلفنش جلوگیری میکند.
کاربران حساستر نیز به گفته Nohl باید هویت اصلی مخاطبان خود را کاملاً و به دقت از طریق کد، شناسایی کنند. این کار را میتوانند از طریق مجموعهای از حروف یا اعداد که همراه با حسابها برای بررسی اعتبار، پیوست میشود، انجام دهند.
برای مثال، برخی از کاربران از حسابهای توئیتر برای اعلام این روش استفاده میکنند. اگر این کد با کد موجود در حساب واتسآپ یکسان باشد، می توان تا حدودی اطمینان حاصل کرد که حساب مذکور دارای کاربر واقعی است. این کد چیزی شبیه کد PGP برای حساب رایانامه مانند زیر است:
۱۹A۰ ۳F۳۷ B۳B۷ ۴C۱E C۱D۱ ۹AA۴ ۵E۳۷ ۶۵۴C ۱۶۶۰ B۸۱۷.
در WhatsApp، این کدها دارای بخشهای پنج حرفی هستند. شما میتوانید کد کاربر را با کلیک روی گزینه «View Contact» و سپس «Verify security code» در قسمت منو که در گوشه بالا سمت راست مکالمات قرار دارد، ببینید. یکی از شرکتهای تحت نظر Facebook نیز امکانی را فراهم کرده است که از طریق آن کاربران میتوانند یک رمزینه را اسکن کنند و از این طریق اطمینان حاصل کنند که آیا حسابها واقعی بوده و ارتباط از دو طرف رمزنگاری میشود یا خیر. این نوع از بررسی به کاربران کمک میکند که از حملاتی که قبلاً توضیح داده شد، جلوگیری کنند.