شبکه های اجتماعی محبوب واتس آپ و تلگرام نا امن هستند
Admin
محققان دانشگاه فنی دارمشتات و دانشگاه وورزبورگ با توجه به تحقیقات انجام داده شده که پیام رسان های مشهور تلفن همراه اطلاعات شخصی را از طریق سرویس های اطلاعاتی در معرض دید قرار می دهند.
هنگام نصب یک پیام رسان تلفن همراه مانند واتس آپ (WhatsApp) ، کاربران جدید می توانند بلافاصله پیام های تماس موجود را بر اساس شماره تلفن های ذخیره شده در دستگاه خود بررسی کنند. برای این اتفاق ، کاربران باید در پروسه ای به نام کشف ارتباط تلفن همراه ، به برنامه اجازه دسترسی و بارگذاری مرتب دفترچه آدرس خود را در سرورهای شرکت واتس آپ بدهند.
مطالعات اخیر توسط تیمی از محققان گروه Secure Software Systems در دانشگاه وورتسبورگ و گروه مهندسی رمزنگاری و در TU Darmstadt نشان می دهد که سرویس های کشف تماس مستقر در حال حاضر حریم خصوصی میلیاردها کاربر را به شدت تهدید می کند.
محققان با استفاده از منابع بسیار اندک توانستند حملات خزندهایی را به پیام رسان های محبوب WhatsApp ، Signal و Telegramانجام دهند.
برای مطالعه گسترده ، محققان ۱۰٪ از کل شماره تلفن های تلفن همراه ایالات متحده آمریکا را برای WhatsApp و ۱۰۰٪ را برای شبکه اجتماعی به نام سیگنال (Signal) جستجو کردند. بدین ترتیب ، آنها قادر به جمع آوری داده های شخصی کاربران ذخیره شده در پروفایل های کاربری پیام رسان ها ، از جمله تصاویر پروفایل ، نام های مستعار ، متن وضعیت و آخرین "آخرین بارچه زمانی آنلاین" بودند دست یابند.
داده های تجزیه و تحلیل شده نیز آمار جالبی را در مورد رفتار کاربر نشان می دهد. به عنوان مثال ، تعداد بسیار کمی از کاربران تنظیمات حریم خصوصی پیش فرض را تغییر می دهند ، که برای اکثر پیام رسان ها به هیچ وجه حریم خصوصی نیست.
محققان دریافتند که حدود ۵۰٪ از کاربران WhatsApp در ایالات متحده آمریکا دارای یک عکس پروفایل عمومی و ۹۰٪ یک متن عمومی "درباره خودشان" هستند.
جالب اینجاست که ۴۰٪ از کاربران شبکه اجتماعی سیگنال ، که به طور کلی می توان گفت نسبت به دیگر پیام رسان ها خصوصی تر است ، از واتس اپ نیز استفاده می کنند و سایر کاربران سیگنال دارای یک عکس پروفایل عمومی در WhatsApp هستند.
ردیابی چنین داده هایی با گذشت زمان ، مهاجمان را قادر می سازد به صورت دقیق تر در زمان سرقت اطلاعات عمل کنند.
هنگامی که داده ها در شبکه های اجتماعی و منابع داده عمومی همسان سازی می شوند ، اشخاص ثالثی می توانند پروفایل های مفصلی ایجاد کنند ، به عنوان مثال برای کاربران کلاهبردار. در تلگرام ، محققان دریافتند که سرویس پیدا کردن مخاطب آن اطلاعات حساس را حتی در مورد دارندگان شماره تلفن هایی که در این سرویس ثبت نشده اند ، نشان می دهد.
این که کدام اطلاعات در هنگام سرقت از مخاطب فاش شده و از طریق حملات خزنده قابل جمع آوری است ، به ارائه دهنده خدمات و تنظیمات حریم خصوصی کاربر بستگی دارد.
به عنوان مثال واتس اپ و تلگرام کل آدرس کاربران را به سرورهای خود منتقل می کنند. بیشتر پیام رسان های مربوط به حریم خصوصی مانند Signal فقط مقادیر کوتاه هش رمزنگاری شده از شماره تلفن ها را انتقال می دهند یا از سخت افزار داخلی گوشی برای ذخیره سازی استفاده می کنند.
با این حال ، تیم تحقیقاتی نشان می دهد که با استراتژی های جدید و بهینه سازی حمله ، آنتروپی شماره تلفن های مهاجمان را قادر می سازد تا شماره تلفن های مربوطه را از هش های رمزنگاری در میلی ثانیه استنباط کنند.
علاوه بر این ، از آنجا که هیچ محدودیتی قابل توجه برای ثبت نام در خدمات پیام رسانی وجود ندارد ، هر شخص ثالثی می تواند تعداد زیادی حساب ایجاد کند تا بتواند با درخواست داده برای شماره تلفن های تصادفی ، اطلاعات کاربر یک پیام رسان را جستجو کند.
"ما اکیداً به همه کاربران برنامه های پیام رسان توصیه می کنیم که ا تنظیمات حریم خصوصی خود را خصوصی سازی کنند. این در حال حاضر موثرترین محافظت در برابر حملات خزنده ها بررسی شده است. "
تأثیر نتایج تحقیق : شبکه های اجتماعی اقدامات امنیتی خود را در آینده بهبود می بخشند
تیم تحقیق یافته های خود را به ارائه دهندگان خدمات مربوطه گزارش دادند. در نتیجه ، WhatsApp مکانیسم های محافظتی خود را به گونه ای بهبود داده است که می توان حملات گسترده ای را تشخیص داد و Signal تعداد سالات احتمالی را برای پیچیدگی خزیدن کاهش داده است. محققان همچنین بسیاری از تکنیک های تخفیف دیگر ، از جمله روش جدید کشف تماس را پیشنهاد کردند که می تواند برای کاهش بیشتر کارایی حملات بدون تأثیر منفی بر قابلیت استفاده ، مورد استفاده قرار گیرد.
