טוב זה לא טוב. קרדיט: Ambar Del Moral/mashable
מי היה מאמין שבסופו של דבר זו תהיה ההודעה הקולית הצנועה שתעשה את כולנו?
לחשבונות Google, Microsoft, Apple, WhatsApp ואפילו Signal שלך יש עקב אכילס - למעשה אותו אחד. ומסתבר שאם לא תיזהר, האקר יכול להשתמש בחולשה הזו כדי להשתלט על הזהות המקוונת שלך.
או לפחות כך טוען "חנון אבטחה" המתואר בעצמומרטין ויגו. מדבר עם אוסף נלהב של האקרים וחוקרי אבטחה במהלך השנתיDEF CONכינוס בלאס וגאס, ויגו הסביר כיצד הצליח לאפס סיסמאות עבור מערך רחב של חשבונות מקוונים על ידי ניצול החוליה החלשה ביותר בשרשרת האבטחה: הדואר הקולי שלך.
אתה מבין, הוא הסביר לקהל, כשאתה מבקש איפוס סיסמה בשירותים כמו WhatsApp, יש לך אפשרות לבקש שתקבלשִׂיחָהעם קוד האיפוס. אם במקרה תפספסו את שיחת הטלפון, השירות האוטומטי ישאיר הודעה עם הקוד.
אבל מה אם זה לא היהאַתָהמנסה לאפס את הסיסמה שלך, אבל האקר? ומה אם לאותו האקר הייתה גם גישה לתא הקולי שלך?
הנה העניין: Vigo כתבה סקריפט אוטומטי שיכול כמעט ללא מאמץ לאלץ את רוב הסיסמאות של הדואר הקולי מבלי שבעל הטלפון יידע. עם גישה זו, תוכל לקבל קוד איפוס סיסמה של חשבון מקוון, וכתוצאה מכך, שליטה בחשבון עצמו.
Vigo, מודיע לנו שכנראה כולנו צריכים להשבית את ההודעות הקוליות שלנו. קרדיט: Jack Morse/mashable
ולא, האימות הדו-שלבי שלך לא ימנע מהאקר לאפס את הסיסמה שלך.
מהירות אור ניתנת לריסוק
אחת השקופיות של ויגו פירטה את המבנה הבסיסי של המתקפה:
1. מערכת הדואר הקולי של Bruteforce, באופן אידיאלי באמצעות מספרי דלת אחורית
2. ודא שהשיחות עוברות ישירות לתא הקולי (הצפת שיחות, OSINT, HLR)
3. התחל את תהליך איפוס הסיסמה באמצעות תכונת "התקשר אלי".
4. האזן להודעה המוקלטת המכילה את הקוד הסודי
5. רווח!
דמו מוקלט שהוא ניגן על הבמה הראה וריאציה של ההתקפה הזו על חשבון PayPal.
"בעוד שלוש, שתיים, אחת, בום - הנה זה," אמר ויגו לקול תשואות הקהל. "פשוט התפשרנו על PayPal."
Vigo הקפיד לציין שהוא חשף באחריות את נקודות התורפה בפני החברות המושפעות, אך קיבל תגובה פחות משביעת רצון מרבים. הוא מתכנן לפרסם גרסה שונה של הקוד שלו ל-Github ביום שני.
יש לציין שהוא מרגיע אותנו שהוא שינה את הקוד כדי שחוקרים יוכלו לוודא שהוא עובד, אבל גם כדי שילדי סקריפט לא יוכלו להתחיל לאפס סיסמאות ימינה ושמאלה.
אז, עכשיו כשאנחנו יודעים שהאיום הזה קיים, מה אנחנו יכולים לעשות כדי להגן על עצמנו? למרבה המזל, לוויגו יש כמה הצעות.
בראש ובראשונה, השבת את הדואר הקולי שלך. אם אינך יכול לעשות זאת מכל סיבה שהיא, השתמש גם בקוד ה-PIN הארוך ביותר האפשריאַקרַאִי. לאחר מכן, נסה לא לספק את מספר הטלפון שלך לשירותים מקוונים אלא אם כן אתה בהחלט חייב עבור 2FA. באופן כללי, נסה להשתמשאפליקציות אימותעל 2FA מבוסס SMS.
אבל, באמת, האפקטיבית ביותר מבין האפשרויות הללו היא כיבוי מלא של הדואר הקולי שלך. מה, ובואו נהיה כנים כאן, סביר להניח שחיפשתם סיבה לעשות בכל זאת. אתה יכול להודות לוויגו שסיפקה לך את התירוץ.
פרנואידית מקצועית. מכסה פרטיות, אבטחה וכל מה שקשור למטבעות קריפטוגרפיים ובלוקצ'יין מסן פרנסיסקו.
ניוזלטרים אלה עשויים להכיל פרסומות, עסקאות או קישורי שותפים. בלחיצה על הירשם, אתה מאשר שאתה בן 16+ ומסכים לנותנאי שימושומדיניות פרטיות.