Ο «τηλεφωνητής φάντασμα» επιτρέπει στους χάκερ να πάρουν τον έλεγχο του τηλεφώνου σας

Μια νέα επίθεση έχει ανακαλυφθεί από Κινέζους ερευνητές, που ονομάζεται «Ghost Telephonist», που επιτρέπει στους χάκερ να πάρουν τον έλεγχο ενός κινητού τηλεφώνου, παρέχοντάς τους πρόσβαση σε όλα τα μηνύματα και το περιεχόμενο τηλεφωνικού καταλόγου στη συσκευή.

Την Κυριακή, μια ομάδα ερευνητών από την UnicornTeam της τεχνολογίας 360 ανακάλυψε αυτή τη χαρά στην τρέχουσα σύνοδο κορυφής χάκερ Black Hat USA 2017.

Σύμφωνα με μια έκθεση του πρακτορείου ειδήσεων Xinhua, στην παρουσίαση της ομάδας, οι ερευνητές της ασφάλειας εισήγαγαν ένα τρωτό σημείο στο CSFB (Circuit Switched Fallback) στο δίκτυο 4G LTE. Το βήμα εξακρίβωσης της ταυτότητας διαπιστώθηκε ότι λείπει.

"Πολλές εκμεταλλεύσεις μπορούν να γίνουν βάσει αυτής της ευπάθειας, " δήλωσε ο Xinhua ο ερευνητής ασύρματης ασφάλειας Unicorn Team Χουάνγκ Λιν. Αναφέραμε αυτήν την ευπάθεια στο Global System for Mobile Alliance (GSMA)."

Περισσότερα στο News: Facebook και το Χάρβαρντ Συμμετέχουν στα χέρια εναντίον των χάκερ και των ψεύτικων ειδήσεων

Η ομάδα απέδειξε πώς μπορεί να γίνει επαναφορά ενός κωδικού πρόσβασης στο λογαριασμό Google χρησιμοποιώντας έναν κλεμμένο αριθμό κινητού τηλεφώνου.

Μετά την πειρατεία της επικοινωνίας ενός χρήστη, ο ερευνητής συνυπέγραψε στο Google Email του χρήστη και έκανε κλικ στο "Ξεχάστε τον κωδικό πρόσβασης". Δεδομένου ότι η Google αποστέλλει έναν κωδικό επαλήθευσης στο κινητό του θύματος, οι επιτιθέμενοι μπορούν να παρακολουθήσουν το κείμενο SMS, επαναφέροντας έτσι τον κωδικό πρόσβασης του λογαριασμού.

Δεδομένου ότι η Google αποστέλλει έναν κωδικό επαλήθευσης στο κινητό του θύματος, οι επιτιθέμενοι μπορούν να παρεμποδίσουν το κείμενο SMS και να επαναφέρουν τον κωδικό πρόσβασης του λογαριασμού.

Δεδομένου ότι ο κωδικός πρόσβασης σε πολλές ηλεκτρονικές υπηρεσίες μπορεί να επαναρυθμιστεί χρησιμοποιώντας ένα κείμενο επαλήθευσης που αποστέλλεται στον αριθμό τηλεφώνου, αυτή η επίθεση θα επιτρέψει στους χάκερς να αναλάβουν τον έλεγχο των ηλεκτρονικών υπηρεσιών που σχετίζονται με οποιοδήποτε αριθμό τηλεφώνου που αναλαμβάνουν.

Περισσότερα στην Ειδήσεις: Η Τεχνητή Νοημοσύνη του Facebook δημιουργεί τη δική του γλώσσα. Προγραμματιστές διαφραγμάτων

Σύμφωνα με τους ερευνητές, ο επιτιθέμενος μπορεί επίσης να ξεκινήσει μια κλήση ή ένα SMS με την παραποίηση του θύματος. Το θύμα δεν θα αισθανθεί να δέχεται επίθεση αφού δεν χρησιμοποιείται 4G ή 2G ψεύτικο σταθμό βάσης και δεν έχει επανελέγξει κυψέλη. Οι επιθέσεις αυτές μπορούν να επιλέξουν τυχαία τα θύματα ή να στοχεύσουν ένα συγκεκριμένο θύμα.

Οι ερευνητές ήρθαν σε επαφή με τους παρόχους τηλεπικοινωνιών με προτάσεις για τον τρόπο αντιμετώπισης αυτής της ευπάθειας και εργάζονται επί του παρόντος με τους φορείς εκμετάλλευσης και τους κατασκευαστές τερματικών για να το διορθώσουν.

(Με εισόδους από το IANS)