WhatsApp nylige vedtagelse af end-to-end-kryptering var en big deal i cybersikkerhed samfund. Men, en undersøgelse foretaget af Positive Technologies afslører, at end-to-end-kryptering i tjenester såsom WhatsApp og Telegram er sårbar. Mere specifik, Forskerne har fundet sårbarheder i signalsystem 7 (SS7) netværk.
Det er et kendt faktum, at engangskoder via sms er usikre, fordi mobil kommunikation er usikker. Både SS7 netværk og air interface krypteringsalgoritmer lider sårbarheder. Angreb på SS7 kan udføres fra et vilkårligt sted, og hackere kan vælge andre mål bortset fra budbringere. Det er værd at bemærke, at alle forsøg blev udført med standardindstillinger, dvs.. de tilstand de fleste brugere anvender.
Som du måske ved,, SMS-godkendelse anvendes som sikkerhed verifikation i meddelelser i forskellige tjenester som WhatsApp. Denne godkendelse er dirigeres via SS7-signalering. Ifølge forskere, engangskoder via sms er usikre, fordi mobil kommunikation også er. Faktisk, ikke kun SS7 netværket er sårbart, men også luftgrænseflade krypteringsalgoritmer. Endvidere, angreb på SS7 kan startes fra hvor som helst. Udover budbringere, ondsindede aktører kan målrette andre tjenester, for.
Flere WhatsApp Security News:
Nivdort Trojan spredes via Fake WhatsApp Emails
WhatsApp End-to-end kryptering
Hvordan Var forskningen?
Når det er sagt, Det er vigtigt at bemærke, at Positiv Technologies 'forskning blev udført med standardindstillinger, som er den tilstand, der anvendes af de fleste brugere. En test-konto blev oprettet i Telegram og flere meddelelser blev udvekslet. Så et SS7 angreb blev udført på test numre via identifikation af IMSI (International Mobile Subscriber Identity).
Efter indtastning af koden, fuld adgang opnås til Telegram konto, herunder evnen til at skrive beskeder på vegne af offeret samt læse alle korrespondance.
Ifølge selskabet, mobiloperatører bør forbedre signalering sikkerheden og gøre det sværere for angribere at opfange kommunikation. Desuden, WhatsApp og lignende tjenester bør gælde et andet lag af kontrol på brugerens identitet.
Hvad siger mobiloperatører og WhatsApp, Telegram Say?
SC Magazine UK har allerede henvendt WhatsApp og Telegram, sammen med alle de store mobiloperatører i Det Forenede Kongerige. For nu, ingen har svaret med en kommentar.
Men, Jacob Ginsberg, der er senior director hos Echoworx, har fortalt magasinet, at et logisk næste skridt for brugerne er at “dobbelttjekke deres indstillinger for at finde ud af, om de bliver underrettet om enhver ændring i deres nøgler eller godkendelse“.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig:
Hvad er nyt. Den eneste sikre måde er den gamle måde. 1 tid puder eller lignende. Det eneste off toppen af mit hoved ville være at bruge en levende eller virtuel linux distro såsom haler, kører det dirigeres gennem i2P, proxychained eller Tor – men så den irriterende MIT bug og alle… pgp og hukommelse tørre, selv da deaktivere kamera, mikrofon og alle ikke væsentlige at tage det yderligere køre det på en mini sdcard og wammo spiser skid. En omskrivning af et citat fra jeg tror Jefferson eller Jackson?:
“Når regeringen frygter folket der er frihed, når borgerne frygter regeringens tyranni” – Vi er midt huser langs barbermaskiner kant.