Zero
Un’onda di report su dirottato un account WhatsApp in Israele ha costretto il governo di cyber-security agency per inviare un livello nazionale di avviso di protezione di martedì, ZDNet ha imparato.
L’avviso, scritto da Israel National Cyber Security Authority, che avverte di un metodo relativamente nuovo di dirottamento di un account WhatsApp tramite dei gestori di telefonia mobile sistemi di segreteria telefonica.
Questo nuovo metodo di hacking è stato documentato per la prima volta lo scorso anno da Corse a Bar-Zik, Israeliano, web developer presso Giuramento.
L’idea generale è che gli utenti che dispongono di segreteria telefonica conti per i loro numeri di telefono sono a rischio se non si cambia account, password di default, che nella maggior parte dei casi tende ad essere o 0000 o 1234.
La possibilità di un account acquisizione succede quando un utente malintenzionato tenta di aggiungere un utente legittimo il numero di telefono di una nuova installazione dell’applicazione WhatsApp sul proprio telefono.
Seguendo le normali procedure di sicurezza, il servizio WhatsApp sarebbe quindi inviare una sola volta il codice via SMS a quel numero di telefono. Si tratta tipicamente di avvisare un utente di un attacco in corso, ma Bar-Zik sostiene che un hacker potrebbe facilmente evitare l’esecuzione dell’attacco durante la notte o quando si è sicuri che l’utente è lontano dal suo telefono.
Dopo diversi tentativi falliti per convalidare il codice inviato via SMS, WhatsApp avrebbe quindi richiesto all’utente di effettuare una “verifica vocale”, durante il quale il servizio WhatsApp avrebbe chiamata il telefono dell’utente e di parlare con il codice di verifica a voce alta.
Se l’attaccante ha terminato la sua/il suo attacco al momento giusto e l’utente non può o non vuole rispondere al suo telefono, il messaggio sarebbe poi la terra della vittima account di posta vocale.
Poiché la maggior parte dei sistemi di telefonia mobile provider di consentire l’accesso remoto al cliente account di posta vocale, tutti gli hacker che ha a che fare è inserire la vittima PIN corretto, recuperare il parlato una volta di codice e inserirlo all’interno della sua versione di WhatsApp app. A questo link il vero numero di telefono con il pirata il dispositivo, e in modo efficace dirotta l’account da parte del legittimo proprietario.
Una volta che l’hacker ha avuto accesso all’account di WhatsApp, lui/lei può attivare la verifica in due passaggi, che avrebbe impedito il legittimo proprietario di ri-prendere il controllo sul suo account di WhatsApp senza numero di sei cifre solo l’attaccante conosce.
La tecnica non richiede alcune abilità tecniche e delle attrezzature per eseguire, e secondo le autorità Israeliane, è stato usato in maniera massiccia nelle ultime settimane, portando a numerose segnalazioni di account violati.
A loro avviso, le autorità Israeliane consiglia di utilizzare una password complessa per loro cellulare e account di posta vocale o abilitare la verifica in due passaggi per l’account di WhatsApp e impedire all’aggressore dirottamento il numero di telefono, per cominciare. Anche se l’avviso è stato inviato dalle autorità Israeliane, gli utenti in altre parti del mondo può anche essere vulnerabile.
“Si tratta di un problema noto e non credo che si è connessi a Facebook, ma per i deboli di sicurezza della compagnia telefonica segreteria telefonica,” Bar-Zik detto a ZDNet.
Un modo migliore per mitigare tali attacchi sarebbe se le società di telecomunicazioni non utilizzare la stessa password per tutti i clienti, ma utilizzare gli identificatori personali come password di default, come i compleanni o le ultime due cifre delle carte di identità. Questo non è perfetto, ma è meglio che usare 0000 o 1234.
Durante l’estate, il ricercatore di sicurezza Martin Vigo, ha sviluppato questa tecnica, mostrando come gli aggressori potrebbero utilizzare la segreteria telefonica conti di dirottare più di un account WhatsApp, come Facebook, Google, Twitter, WordPress, eBay, PayPal o profili. Ha anche creato una speciale strumento per automatizzare questi attacchi chiamati Ransombile.
RELATIVE CYBER-COPERTURA DI SICUREZZA:
WhatsApp rilascia business API: Ecco come si può utilizzare TechRepublic
Facebook citato ore dopo l’annuncio di violazione della sicurezza di Google forzatamente consente G Suite avvisi per il governo sostenuto gli attacchi dell’Alfabeto Intra app consente di crittografare le query DNS per aiutare gli utenti a bypass on line la censura di Alcuni portatili Apple fornito con chip Intel “produzione”modalità di WhatsApp co-fondatore:” ho venduto la mia privacy degli utenti ” con Facebook acquisizione di CNET
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0