سوءاستفاده اطلاعاتی از حساب‌های واتس‌آپ از طریق نقص‎های جدی حوزه ارتباطات

مجله FORBES دیروز نموداری از تلاش‌های جاسوسی با زیان حدود ۲۰ میلیون دلار را منتشر کرد که از ضعف موجود در بخش مهمی از شبکه‌های ارتباطی به نام SS۷ یا سامانه سیگنال نسخه ۷ برای نفوذ خبر می‎دهد. این شرکت اعلام کرد که می‌توان یک گوشی تلفن را در هر جایی از این کره خاکی فقط با یک شماره تلفن کنترل کرد.
شرکت Ability Inc. از طریق خلاءهای موجود در SS۷ به نفوذگر ها این امکان را می‎دهد که در مکالمات و پیام‎های متنی کاربران جاسوسی کنند. برای این منظور نفوذگرها شبکه‎های عملیاتی را در تلفن‌های کاربران تبدیل به اتصالات نامنظم می‎کنند.
جاسوسانی که از این روش استفاده می‎کنند، نمی‎توانند رمزنگاری استفاده شده توسط واتس‎آپ، تلگرام و سیگنال، سه برنامه دارای امنیت بالای معروف را بشکنند. قدرت رایانه‎ای و محاسباتی بالایی نیاز است تا بتوان فهمید ارتباطات کاربران چگونه رمزنگاری شده است و در بهترین حالت می‎توان از ماشین‎ها استفاده کرد تا فهمید کلیدهای رمزنگاری چگونه با استفاده از الگوریتم‎ها ساخته شده‌اند.
از طرف دیگر، رمزنگاری به معنی این است که حتی جایی که جاسوس‎ها قادرند اطلاعات کاربران را به ماشین‎های خود وارد کنند، باز هم اطلاعات قابل خواندن نخواهد بود. آناتولی هورجین، مدیر شرکت Ability گفته است که به مشتریان امکان دور زدن این نوآوری شبکه‌های اجتماعی را نمی‌دهد.

از طرف دیگر نفوذگرها اقدامات امنیتی رمزنگاری‌ها را با استفاده از SS۷ خنثی خواهند کرد تا حساب‌های مشابهی را بسازند و از این طریق تمام پیام‌های تلفن حساب مشابه را دریافت کنند.
این کار با جا زدن شماره تلفن نفوذگر به جای شماره تلفن یک فرد خاص در شبکه‌های ارتباطی میّسر می‎شود، یعنی آن‎ها یک حساب جدید واتس‌آپ یا تلگرام با شماره یکسان باز می‌کنند و کد به ظاهر مخفی کاربری را دریافت می‌کنند. از این طریق، آن‌ها می‌توانند خود را به جای آن فرد خاص جا بزنند و تماس‌ها و پیام‌های جدید را ارسال یا دریافت کنند.
این روش در دو ویدیوئی که توسط یک شرکت امنیتی روسی با نام Positive Technologies به مجله FORBES فرستاده شده، تایید شده و قبلاً نیز در یک وب‌گاه عنوان شده بود که چنین حمله‎ای امکان‎پذیر است.

برای محافظت از خود چه کنید؟
با اینکه نفوذهای انجام شده توسط شرکت Positive هر کسی را از استفاده‎ی نفوذگردن از این شبکه‎های اجتماعی می ترساند، اما ارزانی و امن بودن آن‎ها نسبت به پیامک ساده، امری بدیهی است. استفاده از امکانات تماس در آن‌ها باید قاعدتاً اطلاعات شخص را از سوءاستفاده جاسوس‎ها حفظ کند، مگر اینکه نفوذگر تأثیر خوبی روی فرد داشته باشد و بتواند اطلاعات شخصی وی را از خود وی استخراج کند.
کراستان نوهل، محقق حوزه امنیت که به دلیل کار در حوزه SS۷ معروف است، پیشنهاد می‌کند که در این برنامه‌های اجتماعی از رمزنگاری انتها به انتها استفاده شود که این ویژگی از سوءاستفاده طرف سوم در هدایت ارتباطات قابل خوانده شدن به تلفنش جلوگیری می‌کند.
کاربران حساس‎تر نیز به گفته نوهل باید هویت اصلی مخاطبان خود را کاملاً و به دقت از طریق کد شناسایی کنند. این کار را می‌توانند از طریق مجموعه‌ای از حروف یا اعداد که همراه با حساب‌ها برای بررسی اعتبار، پیوست می‌شود، انجام دهند.
برای مثال، برخی از کاربران از حساب‌های توئیتر برای اعلام این روش استفاده می‎کنند. اگر این کد با کد موجود در حساب واتس‎آپ یکسان باشد، می توان تا حدودی اطمینان حاصل کرد که حساب مذکور دارای کاربر واقعی است. این کد چیزی شبیه کد PGP برای حساب رایانامه مانند زیر است:

۱۹A۰ ۳F۳۷ B۳B۷ ۴C۱E C۱D۱ ۹AA۴ ۵E۳۷ ۶۵۴C ۱۶۶۰ B۸۱۷.

در واتس‎آپ، این کدها دارای بخش‎های پنج حرفی هستند. شما می‌توانید کد کاربر را با کلیک روی گزینه «View Contact» و سپس «Verify security code» در قسمت منو که در گوشه بالا سمت راست مکالمات قرار دارد، ببینید. یکی از شرکت‌های تحت نظر فیسبوک نیز امکانی را فراهم کرده است که از طریق آن کاربران می‌توانند یک رمزینه را اسکن کنند و از این طریق اطمینان حاصل کنند که آیا حساب‌ها واقعی بوده و ارتباط از دو طرف رمزنگاری می‌شود یا خیر. این نوع از بررسی به کاربران کمک می‌کند که از حملاتی که قبلاً توضیح داده شد، جلوگیری کنند.

کاربران اندروید علاوه بر این امکانات، یک امکان دیگر نیز برای استفاده دارند که آن استفاده رایگان از یک برنامه است که توسط نوهل طراحی شده است. هر بار که یک دستگاه یک تماس یا پیام دریافت می‌کند، کاربران یک پیام فراخوانی (paging) نیز دریافت می‌کنند. اگر به جز یک پیام فراخوانی هیچ چیز دیگری روی صفحه گوشی ظاهر نشود، به احتمال بسیار بالا برای آن شخص یک حمله از نوع حمله SS۷ رخ داده ‌است. نوهل یک برنامه امنیت موبایل اندروید به نام SnoopSnitch (رسواکننده جاسوس) را طراحی کرده است که می‌تواند تشخیص دهد پیام‌های مشکوک چه زمانی به گوشی می‌رسند. این برنامه که در سامانه Google Play موجود است، بخشی به نام StingRays دارد که در مورد گیرندگان IMSI نیز هشدار لازم را ارائه می‌دهد. این گیرنده‌ها تلفن را به خود متصل می‌کنند و تماس‌ها و پیام‌های دستگاه را خالی می‌کنند. در اینجا باید توجه داشت که کاربران برای برخورداری از این امکان باید گوشی تلفن همراه خود را روت (root) کنند.

در پایان، شبکه‌ها می‌توانند امکانات حفاظتی را استفاده کنند و شرایطی را به وجود بیاورند که حملات SS۷ به راحتی الان، اتفاق نیفتند. این امکانات هم کاربر را از خطرات احتمالی حفظ می‌کنند و هم کار کسانی که از هر طریقی سعی در سوءاستفاده از طریق حملات و خطرات دارند را سخت‌تر می‎کند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap