همه چیز در مورد USB نوع C
آذر ۲۰, ۱۳۹۵واقعیت افزوده در برابر واقعیت مجازی: تفاوت ها و شباهت ها
آذر ۲۰, ۱۳۹۵هکر های کلاه سفید از شرکت Positive Technologies نشان داده اند چگونه می توان از پروتکل SS7 برای دریافت پیامک امنیتی و ورود به اکانت های تلگرام استفاده کرد.
نقطه ضعف SS7
چند روز قبل متوجه شدیم که فردی مشکلات امنیتی را در این اپلیکیشن ها پیدا کرده اما این مشکل به دلیل عوامل خارجی بوده است (این مسئله تقصیر تلگرام نیست). این عامل خارجی که با نام Signaling System 7 (SS7) شناخته می شود در واقع شبکه ای جهانی از اپراتور ها است که به عنوان مرکز اصلی در متصل کردن جهان به شمار می رود.
همان طور که گفته شد، این دو هک به رمزگذاری های موجود در اپلیکیشن حمله نمی کنند بلکه به نقطه ضعف SS7 حمله می کنند. این کار با گول زدن شبکه مخابراتی برای این که باور کند موبایل هکر همان شماره تلفن موبایل فرد قربانی را دارد، انجام می شود. بعد از این کار هکر یک حساب کاربری تلگرام یا Whatsapp جدید می سازد و کد امنیتی که تلفن همراه آن ها را به عنوان صاحب قانونی حساب کاربری به حساب می آورد دریافت می کند.
در نتیجه هکر کنترل حساب کاربری را در دست می گیرد و همه فعالیت های شما در این پیام رسان ها تحت کنترل او خواهد بود. او می تواند پیام های شما را بخواند و و برای دیگران پیام بفرستد.
نقاط ضعف SS7 چیز جدیدی نیست
نقص های امنیتی پروتکل SS7 از سال 2014 شناخته شده اند. پروتکل SS7 استانداغردی است که در سال 1975 توسعه داده شده و به اپراتور های مخابراتی اجازه می دهد تا خطوط ثابت و شبکه های تلفن همراه را به یکدیگر متصل کنند. این پروتکل اهمیت فوق العاده ای برای ارتباطات تلفنی دارد و به عنوان ستون فقرات آن محسوب می شود اما هیچ وقت بروز رسانی نشده تا پیشرفت های موجود در تکنولوژی های تلفن همراه را نیز در نظر بگیرد و همچنان تاریخ گذشته باقی مانده است.
بسیاری از متخصصین امنیتی از سال 2014 در مورد کافی نبودن اقدامات امنیتی این پروتکل هشدار داده اند. دو سخنرانی مشهور در این زمینه توسط محققان و در سی و یکمین کنگره Chaos Communication در آلمان انجام گرفت. Positive Technologies نیز یکی از همان شرکت ها بود که در دسامبر 2014 گزارش کاملی را در مورد مشکلات این پروتکل منتشر کرد.
راه حل تلگرام
همان طور که پاول دورف هفته ها پیش هشدار داده بود کاربران تلگرام باید تشخیص هویت دو مرحله ای را فعال کنند. این کار به شما اجازه می دهد تا رمز عبوری را انتخاب کنید که هر بار از یک دستگاه جدید وارد حساب کاربریتان شوید لازم است تا علاوه بر کدی که از طریق پیامک دریافت کرده اید رمز عبورتان را نیز وارد کنید.