'טלפוניסט רפאים' מאפשר להאקרים להשתלט על הטלפון שלך

התקפה חדשה התגלתה על ידי חוקרים סינים, המכונה 'טלפוניסט רפאים', המאפשרת להאקרים להשתלט על טלפון נייד, ומאפשרת להם גישה לכל ההודעות ותכני ספרי הטלפון במכשיר.

ביום ראשון, קבוצת חוקרים מטעם UnicornTeam של 360 טכנולוגיות, גילו את הגרזן הזה בפסגת ההאקרים המתמשכת Black Hat USA 2017.

על פי דיווח של סוכנות הידיעות שינג'ואה, במצגת הצוות הציגו חוקרי האבטחה פגיעות אחת ב- CSFB (Circuit Switched Fallback) ברשת 4G LTE. נמצא כי שלב האימות חסר.

"ניתן לעשות מספר ניצולים על סמך פגיעות זו, " אמר חוקר האבטחה האלחוטית של יוניקרן, הואנג לין, ל- Xinhua. דיווחנו על פגיעות זו ל- Global System for Mobile Communications Alliance (GSMA)."

עוד בחדשות: פייסבוק והרווארד מצטרפות לידיים נגד האקרים וחדשות מזויפות

הצוות הדגים כיצד ניתן לאפס סיסמת חשבון גוגל באמצעות מספר סלולרי גנוב.

לאחר שחטף את התקשורת של המשתמש, החוקר נכנס לדוא"ל הגוגל של המשתמש ולחץ על "שכח את הסיסמה". מכיוון שגוגל שולחת קוד אימות לנייד של הקורבן, התוקפים יכולים ליירט את טקסט ה- SMS, ובכך לאפס את סיסמת החשבון.

מכיוון שגוגל שולחת קוד אימות לנייד של הקורבן, התוקפים יכולים ליירט את טקסט ה- SMS ולאפס את סיסמת החשבון.

מכיוון שניתן לאפס את הסיסמה במספר שירותים מקוונים באמצעות טקסט אימות שנשלח למספר הטלפון, התקפה זו תאפשר להאקרים להשתלט על השירותים המקוונים המשויכים לכל מספר טלפון שהם משתלטים עליהם.

עוד בחדשות: הבינה המלאכותית של פייסבוק יוצרת שפה משלה; מפתחי בבל

לדברי החוקרים, התוקף יכול גם ליזום שיחה או הודעת SMS באמצעות התחזות לקורבן. הקורבן לא יחוש שמותקפים אותו מכיוון שלא נעשה שימוש בתחנת בסיס מזויפת של 4G או 2G ובלי בחירת תאים מחדש. התקפות אלה יכולות לבחור באקראי קורבנות או לכוון לקורבן נתון.

החוקרים יצרו קשר עם ספקי הטלקום עם הצעות כיצד להתמודד עם פגיעות זו וכעת הם עובדים עם מפעילי יצרני הטרמינל כדי לתקן אותה.

(עם תשומות מ- IANS)