x

Blog

دسترسی به حساب کاربران Reddit به کمک ضعف امنیتی سیستم مخابراتی

خلاصه: طبق اعلام رسانه خبری Reddit، نشت اطلاعاتی به دلیل سرقت اطلاعات پیامک شده به کاربران برای احراز هویت بوده است. این مساله به کمک آسیب‌پذیری زیرساخت شبکه موبایل (SS7) انجام پذیرفته و موجب دور زده شدن احراز هویت دو‌عاملی شده است.

 

شرکت Reddit در تاریخ ۱۹ ژون ۲۰۱۸ متوجه این شکاف اطالاعاتی در مورد دزدیده شدن پایگاه داده این شرکت مربوط به سال ۲۰۰۵ تا ۲۰۰۷ گردیده است. این حمله از طریق دسترسی مستقیم به کد و اطلاعات اصلی سیستم رخ داده است.

اطلاعات دزدیده شده شامل پست الکترونیک، رمز عبور، رمز عبور رمز شده، پیام‌های خصوصی و پست‌های عمومی بوده است. امنیت حساب‌های کاربران این شرکت از طریق روش احراز هویت دو‌عاملی طراحی گردیده بود که افراد حمله کننده با تغییر مسیر تحویل پیام‌های احراز هویت به سمت خود، توانسته بودند این شکاف امنیتی را ایجاد کنند.

البته افراد حمله کننده فقط توانایی خواندن اطلاعات را داشتند و نمی‌توانستند در پایگاه داده تغییری ایجاد نمایند.

این شرکت برای حل این مشکل که در قسمت اعتبار سنجی و ثبت نام کاربران وجود داشت، از روش اعتبار سنجی از طریق توکن به جای پیامک استفاده کرد.

امروزه وجود شکاف در سیستم‌های پیام کوتاه تعجب برانگیز نیست؛ آسیب‌پذیری‌های جدی در زیرساخت مخابراتی که سیستم سیگنالینگ ۷ (SS7) نام دارند وجود دارد.مهاجمان می‌توانند از طریق این ضعف‌های امنیتی به پیامک‌های کاربران، مکالمات و به موقعیت آن‌ها دسترسی پیدا کنند. در سال ۲۰۱۵ افراد حمله کننده توانستند موقعیت و مکالمات یک سناتور استرالیایی را در کشور آلمان بدست آورند.

در سال های ۲۰۱۶ و ۲۰۱۷ یک سری نقص های مشابهی روی سرویس های گوگل و فیس بوک و کیف پول بیت کوین نیز مشاهده شده است.

آسیب‌پذیری‌های بسیار سیستم زیرساخت موبایل که بسیاری از آن‌ها امکان وصله شدن ندارند، می‌تواند تهدید بزرگی برای امنیت کاربران، حتی در روش‌های امنی همچون احراز هویت دو‌عاملی باشد. استفاده از شبکه موبایل باید با علم به این آسیب‌پذیری‌ها باشد.

    

Persian English French German Russian Spanish
کلیه حقوق این سایت متعلق به مرکز تخصصی آپا دانشگاه صنعتی اصفهان می‌باشد. استفاده از مطالب تنها در صورت دریافت تاییدیه کتبی مجاز است.

تحت نظارت وف ایرانی