اجلاس Def Con/ کشف یک آسیب پذیری به نام پست صوتی

به گزارش کارگروه امنیت سایبربان، به نقل از «mashable»، حساب های کاربری گوگل، مایکروسافت، اپل، واتس اپ و حتی سیگنال و بسیاری نمونه های دیگر، دارای پاشنه ی آشیل خاصی هستند که به هکرها اجازه می دهد به سادگی به آن نفوذ کنند.

مارتین ویگو (Martin Vigo)، یک هکر و سخنرانان حاضر در اجلاس دف کان اعلام کرد، موفق شده است، طیف وسیعی از حساب های کاربری آنلاین مختلف را هک کند. وی توضیح داد، این کار را به لطف آسیب پذیرترین لینک موجود در زنجیره ی امنیت، یعنی پست صوتی (voicemail) انجام داده است.

ویکو شرح داد، زمانی که فردی قصد دارد رمز عبور خود را در بسترهایی مانند واتس اپ بازیابی کند، با گزینه های بسیاری مانند پست صوتی مواجه می شود. به علاوه زمانی که تماس از دست می رود، پیامی همراه با یک کد برای وی ارسال می گردد.

اما چه می شود اگر یک هکر به جای کاربر قصد بازیابی رمز داشته و به پست صوتی نیز دسترسی داشته باشد؟

وی در پاسخ به سؤال بالا نشان داد اسکریپت خودکاری را توسعه داده است که تقریباً بدون هیچ زحمتی رمزهای عبور پیام های صوتی را بدون اطلاع صاحب شماره، شناسایی می کند. در نتیجه می تواند کد مخصوص به تغییر یا بازیابی رمز عبور را دریافت کرده، کنترل خود حساب را در دست بگیرد.

هکر مذکور اظهار کرد، حتی استفاده از تأیید هویت دو مرحله ای نیز در این شرایط نمی تواند جلوی نفوذ هکر را بگیرد. وی برای اثبات ادعای خود به ویدئویی از حمله به یک حساب کاربری پی پل (PayPal) را به نمایش گذاشت.

سخنران یاد شده اعلام کرد، آسیب پذیری کشف شده را به بسیاری از شرکت های تحت تأثیر گزارش داده، اما پاسخ مناسبی در این رابطه دریافت نکرده است. همچنین نمونه ای اصلاح شده از کدهای خود را به منظور تأیید صحت ادعای خود در وبگاه در گیت هاب قرار داده است.

وی پیشنهاد داد برای مقابله با آسیب پذیری مذکور، ویژگی پیام صوتی غیر فعال گردد؛ اما اگر به هر دلیلی انجام این کار غیر ممکن بود، بهتر است اقدامات زیر صورت گیرد.

کاربر از پین کد تصادفی با طولانی ترین حد ممکن استفاده کند. همچنین تا زمانی که فردی قابلیت تأیید هویت دو مرحله ای خود را فعال نکرده است، شماره ی تلفنش را در اختیار خدمات آنلاین قرار ندهد. به علاوه بهتر است سعی کند به صورت کلی از نرم افزارهای تأیید هویت یا تأیید اعتبار دو مرحله ای بر پایه ی پیامک بهره گرفته شود.