يمكن للقراصنة والمخترقين الاستيلاء على جميع حساباتك على الإنترنت بسبب ثغرة فىالبريد الصوتي الخاص بك
من كان يظن أنه في النهاية ، سيكون البريد الصوتي المتواضع هو الذي سيؤدي بنا جميعًا؟
تمتلك كل من Google و Microsoft و Apple و WhatsApp – وهو نفس الشيء في الواقع. واتضح أنه إذا لم تكن حذرا ، يمكن للقراصنة استخدام هذا الضعف للسيطرة على هويتك على الإنترنت.
أو هكذا يدعي “المهوس الأمن” المسمى الذاتي مارتن فيجو. تحدث فيغو إلى مجموعة متحمسة من المتسللين والباحثين الأمنيين في مؤتمر DEF CON السنوي في لاس فيغاس ، وأوضح فيغو كيف تمكن من إعادة تعيين كلمات المرور لمجموعة واسعة من الحسابات عبر الإنترنت من خلال الاستفادة من أضعف حلقة في سلسلة الأمان: البريد الصوتي.
كما تعلّم ، شرح للحشد ، عند طلب إعادة تعيين كلمة المرور على خدمات مثل WhatsApp ، لديك خيار طلب تلقي مكالمة باستخدام رمز إعادة التعيين. إذا فاتتك مكالمة هاتفية ، فستترك الخدمة التلقائية رسالة تحتوي على الرمز.
ولكن ماذا لو لم تكن تحاول إعادة تعيين كلمة المرور الخاصة بك ، ولكن هاكر؟ وماذا لو كان هذا المخترق لديه حق الوصول إلى بريدك الصوتي؟
إليكم الأمر: كتب فيغو نصًا أوتوماتيكيًا يمكن أن يشق بكل سرور معظم كلمات مرور البريد الصوتي دون معرفة مالك الهاتف. باستخدام هذا الوصول ، يمكنك الحصول على رمز إعادة تعيين كلمة مرور حساب على الإنترنت ، وبالتالي التحكم في الحساب نفسه.
أظهر عرض تجريبي تم عرضه على خشبة المسرح تباينًا في هذا الهجوم على حساب PayPal.
وقالت فيجو أمام تصفيق الجمهور “في ثلاثة أو اثنين أو ازدهار – هناك”. “لقد عوضنا PayPal للتو.”
كانت شركة Vigo حذرة في ملاحظة أنه قد كشف بشكل مسؤول عن نقاط الضعف أمام الشركات المتضررة ، ولكنها حصلت على رد أقل من كثير من المرضى. وهو يعتزم نشر نسخة معدلة من شفرته إلى جيثب يوم الاثنين.
وبشكل خاص ، يطمئننا أنه قام بتعديل الشفرة بحيث يتمكن الباحثون من التحقق من أنها تعمل ، ولكن أيضًا حتى لا يتمكن برنامج الأطفال النصي من بدء إعادة تعيين كلمات المرور إلى اليسار واليمين.
والآن ، بعد أن علمنا بوجود هذا التهديد ، ماذا يمكننا أن نفعل لحماية أنفسنا؟ فيغو ، لحسن الحظ ، لديها بعض الاقتراحات.
أولاً وقبل كل شيء ، قم بتعطيل بريدك الصوتي. إذا لم تتمكن من القيام بذلك لأي سبب من الأسباب ، استخدم أطول رمز PIN ممكن وهو عشوائي أيضًا. بعد ذلك ، حاول عدم تقديم رقم هاتفك إلى الخدمات عبر الإنترنت ما لم تضطر تمامًا إلى الحصول على رقم 2FA. بشكل عام ، حاول استخدام تطبيقات Authenticator عبر 2FA-based SMS.
