هک کردن فیسبوک تنها با یک شماره تلفن!
نقص موجود در پروتکل SS7 باعث خواهد شد تا هکرها بسیار آسانتر از آن چیزی که فکرش را میکنید به حساب شما دسترسی پیدا کنند.
به گزارش کلیک، یک تیم امنیتی از شرکت Positive Technologies ادعا کرده است در صورتی که شما به شماره تماس قربانی مورد هدف خود دسترسی داشته باشید، میتوانید با استفاده از حفره امنیتی که در پروتکل SS7 وجود دارد به حساب کاربری فیسبوک آن شخص برسید.
طبق گزارشات Forbes، بخشی از هسته زیرساخت ارتباطات از راه دور وجود دارد که با وجود آسیبپذیریهای زیاد در حدود ۵ سال، بدون توجه، در معرض دید همگان به حال خود رها شده است.
SS7 پروتکلی است که در سال ۱۹۷۵ ایجاد شد. این پروتکل به منظور تعریف این که چطور شبکه تلفنی که در مکانهای عمومی مورد استفاده قرار میگیرد (PSTN) اطلاعات را روی بستر شبکه مخابراتی دیجیتال رد و بدل میکند، در مقیاس جهانی، مورد استفاده قرار میگیرد. با این وجود، شبکهای که روی بستر پروتکل SS7 فعالیت میکند، به صورت پیشفرض، به پیامهایی که از طریق آن ارسال میگردند، بدون توجه به منبع پیامها، به آنها اعتماد میکند.
تمام هکرهای دنیای مجازی برای نفوذ به حساب کاربران نیاز دارند تا فرایند ?Forgot Account را از طریق صفحه اصلی فیسبوک دنبال کنند و زمانی که از آنها یک شماره تلفن یا آدرس ایمیل درخواست شد، یک شماره قانونی ارائه دهند.
زمانی که فیسبوک جهت دسترسی کاربر به حساب خود یک پیام که شامل یه کد یک بار مصرف است، برای وی ارسال میکند، در همین جا است که هکرها میتوانند از نقص امنیتی SS7 نهایت استفاده را برده و این کد را به موبایل خود ارسال کنند. در واقع این کار به آنها اجازه خواهد داد تا به حساب قربانی دسترسی یابند.
Positive Technologies ویدیویی تهیه کرده است که این حمله را نشان میدهد.
البته برای انجام چنین حملهای از سوی هکرها، قربانی باید حتما شماره تماس خود را به حساب کاربری خود متصل کرده باشد. اما از زمانی که این حفره امنیتی در شبکه ارتباطات از راه دور یافت شد و نه دامنههای آنلاین، این حملات بر علیه هرگونه وب سرویسی که از چنین سیستمی جهت بازیابی حساب کاربران استفاده میکند، صورت میگیرند. از جمله این وب سایتها میتواند به توییتر و جیمیل اشاره کرد.
به همین دلیل است که ضرورت استفاده از سیستم تعیین هویت دو مرحلهای رو به روز بیشتر احساس میشود. اما تا زمانی که آسیبپذیریهای موجود در سرویسهای ارتباطات از راه دور حل نشده است، استفاده از روشهای بازیابی حساب کاربری از طریق ایمیل همچنان بهتر گزینه محسوب میشوند. علاوه بر این پیشنهاد میشود که از رمزهای عبور بسیار قوی و پیچیده برای حسابهای اصلی ایمیل خود استفاده کنید. زیرا مسلما شما از حسابهای اصلی خود به منظور نگهداری اطلاعات سرویسهای آنلاین دیگر استفاده میکنید.