تکنولوژی

امکان دسترسی نفوذگران به مکالمات کاربران تلگرام و واتس‌اپ

واتس‌اپ و تلگرام از جمله نرم‌افزارهای پیام‌رسانی هستند که با بهره‌گیری از سیستم رمزگذاری دو سمت مکالمه سعی کرده‌اند فضایی کاملا امن را برای گفتگوی کاربران فراهم کنند. این در حالی است که برپایه تحقیقات جدید، نفوذگران خیلی راحت‌تر از آنچه تصور می‌کنیم می‌توانند مکالمات کاربران را مشاهده و حتی به جای آن‌ها پاسخ دهند. حفره امنیتی که در این تحقیق به آن اشاره شده از سیستم سیگنالینگ 7 (SS7) سرچشمه می‌گیرد که در واقع استاندارد مخابراتی بین‌المللی برای بررسی نحوه تبادل اطلاعات توسط المان‌ها موجود در یک شبکه سیگنالینگ است. 

در این تحقیق که توسط شرکت Positive Technologies انجام شده اینچنین نتیجه گرفته شده که حفره‌های امنیتی موجود برپایه SS7 می‌توانند به نفوذگرانی با مهارت‌های ابتدایی هم امکان پیاده‌سازی حملات خطرناک را داده تا در نهایت این حملات منجر به از دست رفتن اطلاعات مهم و ضروری، شخصی، مالی و یا حتی ایجاد اختلال در سرویس‌ها شود. 

از آنجایی که نرم‌افزارهای پیام‌رسان مانند واتس‌اپ، وایبر، تلگرام و فیس‌بوک از سیستم تایید از طریق دریافت پیام‌کوتاه به عنوان مکانیسم تشخیص هویت و ورود کاربر استفاده می‌کنند و این پیامک از طریق شبکه سیگنالینگ SS7 ارسال می‌شود، نفوذگران می‌توانند با دسترسی به این شبکه، اطلاعات کاربر را سرقت و در دنیای مجازی پیام‌رسان، خود را به جای او جا بزنند.

مسئله نگران‌کننده آن است که نفوذگر به هیچ ابزار پیشرفته‌ای به‌منظور پیاده‌سازی این حملات نیاز نخواهد نداشت. به عنوان نمونه، متخصصان Positive Technologies در آزمایش‌های خود تنها از یک رایانه لینوکسی و SDK (بسته توسعه نرم‌افزاری) که در دسترس عموم قرار دارد استفاده کرده تا حملات را شبیه‌سازی کنند. 

درنظر داشته باشید که وجود حفره امنیتی در SS7 پیش از این نیز بارها و بارها توسط متخصصان امنیتی گوشزد شده بود. به عنوان مثال، محققان AdaptiveMobile در کنفرانس ارتباطات سال 2014 میلادی به‌طور عملی این حفره‌ها را تشریح کرده بودند. توبیاس اینگل، محقق آلمانی نیز در گذشته نشان داده بود امکان تشخیص موقعیت مکانی دستگاه‌های همراه با بهره‌گیری از حفره‌های موجود در SS7 وجود دارد. 

در این گزارش عنوان شده دلیل اصلی وجود حفره‌های اینچنینی در SS7 که در دهه 1970 میلادی توسعه یافته، عدم دریافت نسخه‌های به‌روز و اعمال تجدید نظر در پروتکل‌های ارتباطی آن است. 

الکس متیو، مدیر فنی Positive Technologies در این خصوص می‌گوید:

“در صورتی که اپراتورهای شبکه و مخابراتی، محفاظت کاملی از شبکه‌های خود به عمل آورند این راهکار به بهبود سطح امنیتی مشتریان کمک خواهد کرد اما این مسئله موضوعی نیست که در کوتاه مدت محقق شود. در طرف مقابل، سرویس‌دهنده‌هایی مانند واتس‌اپ و تلگرام باید به دنبال یافتن راهکارهای جایگزین به‌منظور تایید هویت کاربران باشند تا امنیت آن‌ها تامین شود.”

ترجمه از iBtimes

منبع : آی تی ایران

دیدگاهتان را بنویسید

دکمه بازگشت به بالا