برامج المراسلة الشائعة غير آمنة ابدًا
برامج المراسلة الشائعة غير آمنة ابدًا
أمان برامج المراسلة الفورية
محتويات المقالة :
أظهر باحثون من جامعة دارمشتات التقنية وجامعة فورتسبورغ أن برامج المراسلة المحمولة الشهيرة تكشف البيانات الشخصية عبر خدمات الاكتشاف التي تتيح للمستخدمين العثور على جهات اتصال استنادًا إلى أرقام الهواتف من دفتر العناوين الخاص بهم.
عند تثبيت برنامج مراسلة للجوال مثل WhatsApp، يمكن للمستخدمين الجدد البدء فورًا في إرسال الرسائل النصية إلى جهات الاتصال الحالية بناءً على أرقام الهواتف المخزنة على أجهزتهم.
ولكي يحدث هذا يجب على المستخدمين منح إذن التطبيق للوصول وتحميل دفتر العناوين الخاص بهم بانتظام إلى خوادم الشركة، في عملية تسمى اكتشاف جهات الاتصال المحمولة.
أظهرت دراسة حديثة قام بها فريق من الباحثين من Secure Software Systems Group في جامعة Würzburg. ومجموعة Cryptography and Privacy Engineering Group في TU Darmstadt. أن خدمات اكتشاف جهات الاتصال المنتشرة حاليًا تهدد بشدة خصوصية مليارات المستخدمين.
باستخدام موارد قليلة جدًا، تمكن الباحثون من تنفيذ هجمات زحف عملية على برامج المراسلة الشائعة WhatsApp و Signal و Telegram.
تظهر نتائج التجارب أن المستخدمين الضارين أو المتسللين يمكنهم جمع بيانات حساسة على نطاق واسع ودون قيود جديرة بالملاحظة. من خلال الاستعلام عن خدمات اكتشاف جهات الاتصال للحصول على أرقام هواتف عشوائية.
يتم تمكين المهاجمين لبناء نماذج سلوك دقيقة
بالنسبة للدراسة المكثفة، استفسر الباحثون عن 10٪ من جميع أرقام الهواتف المحمولة في الولايات المتحدة لتطبيق WhatsApp و 100٪ لتطبيق Signal. وبالتالي، فقد تمكنوا من جمع البيانات الشخصية (الوصفية) المخزنة بشكل شائع في ملفات تعريف مستخدمي برامج المراسلة، بما في ذلك صور الملف الشخصي والألقاب ونصوص الحالة.
تكشف البيانات التي تم تحليلها أيضًا عن إحصائيات مثيرة للاهتمام حول سلوك المستخدم. على سبيل المثال، يغير عدد قليل جدًا من المستخدمين إعدادات الخصوصية الافتراضية، والتي لا تعتبر معظم برامج المراسلة صديقة للخصوصية على الإطلاق.
واتساب
وجد الباحثون أن حوالي 50٪ من مستخدمي WhatsApp في الولايات المتحدة لديهم صورة ملف شخصي عام، و 90٪ لديهم نص “حول” عام.
ومن المثير للاهتمام، أن 40٪ من مستخدمي Signal الذين يمكن افتراض أنهم أكثر اهتمامًا بالخصوصية بشكل عام، يستخدمون أيضًا WhatsApp. وكل مستخدمي Signal الآخرين لديهم صورة ملف شخصي عام على WhatsApp.
يتيح تتبع هذه البيانات بمرور الوقت للمهاجمين بناء نماذج سلوك دقيقة. عندما تتم مطابقة البيانات عبر الشبكات الاجتماعية ومصادر البيانات العامة، يمكن للجهات الخارجية أيضًا إنشاء ملفات تعريف مفصلة. على سبيل المثال لخداع المستخدمين.
تيليقرام
بالنسبة إلى Telegram، وجد الباحثون أن خدمة اكتشاف جهات الاتصال الخاصة بها تكشف معلومات حساسة، حتى عن أصحاب أرقام الهواتف غير المسجلين في الخدمة.
تعتمد المعلومات التي يتم الكشف عنها أثناء اكتشاف جهات الاتصال والتي يمكن جمعها عبر هجمات الزحف على مزود الخدمة وإعدادات الخصوصية للمستخدم.
WhatsApp و Telegram، على سبيل المثال ينقلان دفتر عناوين المستخدم بالكامل إلى خوادمهم. المزيد من برامج المراسلة المهتمة بالخصوصية، مثل Signal ، تنقل فقط قيم تجزئة تشفير قصيرة لأرقام الهواتف أو تعتمد على أجهزة موثوقة.
ومع ذلك يوضح فريق البحث أنه مع إستراتيجيات الهجوم الجديدة والمحسّنة، فإن الإنتروبيا المنخفضة لأرقام الهواتف تمكن المهاجمين من استنتاج أرقام الهواتف المقابلة من تجزئات التشفير في غضون أجزاء من الثانية.
علاوة على ذلك نظرًا لعدم وجود قيود جديرة بالملاحظة للتسجيل في خدمات المراسلة، يمكن لأي طرف ثالث إنشاء عدد كبير من الحسابات للزحف إلى قاعدة بيانات مستخدم برنامج المراسلة للحصول على معلومات عن طريق طلب بيانات لأرقام هواتف عشوائية.
“نحن ننصح بشدة جميع مستخدمي تطبيقات المراسلة بإعادة زيارة إعدادات الخصوصية الخاصة بهم. فهذه هي الحماية الأكثر فعالية حاليًا ضد هجمات الزحف التي تم التحقيق فيها”.
يقوم مقدمو الخدمات بتحسين إجراءاتهم الأمنية
أبلغ فريق البحث النتائج التي توصلوا إليها لمقدمي الخدمة المعنيين. نتيجة لذلك قام WhatsApp بتحسين آليات الحماية الخاصة به مثل اكتشاف الهجمات واسعة النطاق. وقلل Signal عدد الاستعلامات المحتملة لتعقيد الزحف. اقترح الباحثون أيضًا العديد من تقنيات التخفيف الأخرى. بما في ذلك طريقة اكتشاف الاتصال الجديدة التي يمكن اعتمادها لتقليل كفاءة الهجمات بشكل أكبر دون التأثير سلبًا على قابلية الاستخدام.
تم وصف جميع النتائج في الورقة البحثية “جميع الأرقام هي الولايات المتحدة: إساءة استخدام واسعة النطاق لاكتشاف جهات الاتصال في برامج المراسلة المتنقلة”. والتي سيتم تقديمها في فبراير 2021 في 28. ندوة أمان الشبكة والنظام الموزع (NDSS)، وهي إحدى أهم المؤتمرات لأمن تكنولوجيا المعلومات.
يمكن قراءة المزيد من الابتكارات والاختراعات المختلفة من خلال الضغط هنا
للاطلاع على المزيد من المواضيع وأبرز المقالات عبر موقع سجلات الأردن اضغط هنا
