SS7 हैक भी एन्क्रिप्ट किए गए मैसेजिंग एप से समझौता कर सकता है

सिग्नलिंग सिस्टम नंबर 7 (एसएस 7) टेलीफोनी सिग्नलिंग प्रोटोकॉल का एक सेट है जो दुनिया में हर जगह सभी सेल फोन संचार के लिए रीढ़ प्रदान करता है। यह उपयोगकर्ताओं को जोड़ने और नेटवर्क के बीच संदेश पारित करने, सही बिलिंग सुनिश्चित करने और उपयोगकर्ताओं को अन्य नेटवर्क पर घूमने की अनुमति देने के लिए फोन नेटवर्क को खुद के बीच संवाद करने की अनुमति देता है।.

SS7 आसानी से हैक हो जाता है

2008 के बाद से यह व्यापक रूप से ज्ञात है कि SS7 में कमजोरियों से सेल फोन उपयोगकर्ताओं को चुपके से हैक करने की अनुमति मिलती है। हालांकि, उद्योग ने इस बारे में कुछ नहीं किया, क्योंकि जोखिमों को विशुद्ध रूप से सैद्धांतिक माना जाता था.

2014 में यह तब बदल गया जब SS7 में कमजोरियों ने हैकर्स को यूक्रेन में अमेरिकी राजदूत और अमेरिकी विदेश मंत्री विक्टोरिया नुलैंड के बीच एक गुप्त शर्मनाक गुप्त अनअंतरित फोन वार्तालाप को रिकॉर्ड करने की अनुमति दी, जिसमें वह यूरोपीय संघ के अत्यधिक महत्वपूर्ण थे.

इस साल अप्रैल में, अमेरिकी कांग्रेस के नेता टेड लिउ ने टीवी कार्यक्रम 60 मिनट के लिए किए गए एक प्रयोग में भाग लेने के लिए सहमत हुए। शो के लिए, जर्मन सुरक्षा शोधकर्ता कार्स्टन नोहल ने सफलतापूर्वक प्रदर्शित किया कि बर्लिन में अपने आधार से एलआईयू के आईफोन को हैक करना कितना आसान था, केवल अपना फोन नंबर जानना।.

"नोहल ने लॉस एंजिल्स के भीतर जिलों के लिए लेउ के आंदोलनों को इंगित किया, उनके संदेशों और रिकॉर्ड किए गए फोन को लियू और उनके कर्मचारियों के बीच पढ़ा।"

मोबाइल नेटवर्क आपके फोन में छोटी जीपीएस चिप से स्वतंत्र है, यह जानता है कि आप कहां हैं। इसलिए कोई भी विकल्प जो एक कांग्रेसी के लिए बनाया जा सकता है, एक फोन चुनना, एक पिन नंबर चुनना, कुछ एप्लिकेशन इंस्टॉल करना या इंस्टॉल करना, जो हम दिखा रहे हैं, उस पर कोई प्रभाव नहीं है क्योंकि यह मोबाइल नेटवर्क को लक्षित कर रहा है। बेशक, किसी भी एक ग्राहक द्वारा नियंत्रित नहीं किया जाता है.

कार्स्टेन नोहल

एलआईयू ने अब "ओपन सीक्रेट" एसएस 7 भेद्यता की आधिकारिक जांच के लिए बुलाया है:

भेद्यता में न केवल व्यक्तिगत गोपनीयता के लिए बल्कि अमेरिकी नवाचार, प्रतिस्पर्धा और राष्ट्रीय सुरक्षा के लिए भी गंभीर प्रभाव हैं। डिजिटल सुरक्षा में कई नवाचार - जैसे टेक्स्ट संदेशों का उपयोग करके बहु-कारक प्रमाणीकरण - को बेकार किया जा सकता है.

टेड लिउ, अमेरिकी कांग्रेसी

हालांकि, यह व्यापक रूप से माना जाता है कि एनएसए और जीसीएचक्यू जैसी सरकारी एजेंसियां ​​लक्ष्य पर निशाना साधने के लिए एसएस 7 कमजोरियों का नियमित रूप से फायदा उठाती हैं। इसलिए संभावना है कि वे समस्या को ठीक करने के किसी भी प्रयास का विरोध करेंगे.

एन्क्रिप्शन में समस्याएं हैं

अब तक यह सोचा गया था कि व्हाट्सएप और टेलीग्राम जैसे एन्क्रिप्टेड ऐप का उपयोग करने वाले उपयोगकर्ताओं को इस तरह के स्नूपिंग से बचाएंगे। जैसे, दी गई सलाह यह है कि अपने मोबाइल नेटवर्क कनेक्शन का उपयोग करके कॉल करने या टेक्स्ट भेजने से बचें, और इसके बजाय एन्क्रिप्टेड मैसेजिंग ऐप का उपयोग करें.

हालाँकि, नए शोध से पता चलता है कि एन्क्रिप्टेड ऐप्स का उपयोग करना भी उतना सुरक्षित नहीं हो सकता है जितना कि पहले माना गया है.

यह उन हमलावरों के लिए संभव है, जिनके पास पीड़ित के फोन नंबर को नियंत्रित करने के लिए SS7 नेटवर्क तक पहुंच है, और फिर पीड़ित के नाम में ऐप को पंजीकृत करने के लिए इस नंबर का उपयोग करें। इसके बाद हमलावर पीड़ित के संपर्कों के शिकार के रूप में सामने आ सकता है.

क्योंकि व्हाट्सएप और टेलीग्राम जैसे ऐप केवल उपयोगकर्ताओं की पहचान (कम से कम डिफ़ॉल्ट रूप से) को सत्यापित करने के लिए फोन नंबरों पर निर्भर हैं, यह एक बड़ा खतरा प्रस्तुत करता है.

यह ध्यान रखना महत्वपूर्ण है कि व्हाट्सएप और टेलीग्राम * (आदि) द्वारा उपयोग किए जाने वाले वास्तविक एन्क्रिप्शन का प्रति सेकेंड समझौता नहीं किया गया है। यह हमला पीड़ित के फोन को चुराने वाले हमलावर के लिए अधिक महत्वपूर्ण है और जब आप कॉल करते हैं तो उन्हें प्रतिरूपण करता है। इसलिए, यह किसी भी एन्क्रिप्शन का उपयोग करता है, बजाय इसे तोड़ने के.

* टेलीग्राम डिफ़ॉल्ट रूप से एंड-टू-एंड एन्क्रिप्शन का उपयोग नहीं करता है, एक तथ्य जो सकारात्मक सुरक्षा से शोधकर्ताओं को पुराने संदेशों तक पहुंचने और उपयोगकर्ताओं के खातों से संबंधित चैट इतिहास की अनुमति देता है, और जो टेलीग्राम के सर्वर पर संग्रहीत थे.

"कोड दर्ज करने के बाद, टेलीग्राम खाते में पूर्ण पहुंच प्राप्त की जाती है, जिसमें पीड़ित की ओर से संदेश लिखने की क्षमता के साथ-साथ सभी पत्राचार को पढ़ा जाता है।"

कौन से ऐप प्रभावित हैं?

यह हमला संभावित रूप से उन सभी मैसेजिंग ऐप्स को प्रभावित करता है जो अपने फोन नंबरों के माध्यम से उपयोगकर्ताओं को सत्यापित करते हैं। इसमें व्हाट्सएप, फेसबुक, गूगल और वाइबर शामिल हैं.

हालांकि, सिग्नल और पिडगिन प्लस ओटीआर जैसे ऐप में तंत्र शामिल हैं जो आपको संवाददाताओं की पहचान को सत्यापित करने की अनुमति देते हैं। संकेत, उदाहरण के लिए, आप सार्वजनिक पीजीपी पहचान कुंजी (या तो मैन्युअल रूप से या स्वचालित रूप से क्यूआर कोड का उपयोग करके) की तुलना करने की अनुमति देता है। यदि आप इनका उपयोग करते हैं, तो आपको ऊपर वर्णित प्रकार के एसएस 7 हमले का पता लगाने में सक्षम होना चाहिए। यदि संपर्क की पहचान कुंजी बदल जाती है तो सिग्नल भी आपको चेतावनी देगा.

सत्यापन की जाँच करें

इलेक्ट्रॉनिक फ्रंटियर फाउंडेशन (EFF) के पास एक बेहतरीन चार्ट है जो सबसे लोकप्रिय मैसेजिंग ऐप द्वारा उपयोग की जाने वाली सुरक्षा की तुलना करता है। जब तक आप "संपर्क की पहचान को सत्यापित कर सकते हैं" के लिए जांच करते हैं, तब तक आप इन हमलों के लिए लचीला होते हैं जब तक आप सत्यापन प्रक्रिया करते हैं (इसलिए ऐसा करें!)

व्हाट्सएप, वास्तव में उपयोगकर्ताओं की चेतावनी की क्षमता शामिल करता है जब किसी संपर्क की पहचान कुंजी को बदल दिया जाता है (व्हाट्सएप सिग्नल प्रोटोकॉल का उपयोग करता है), लेकिन एक जिज्ञासु चाल में, यह सुविधा डिफ़ॉल्ट रूप से अक्षम है। इसे निम्न चरणों का उपयोग करके सक्षम किया जा सकता है:

  1. कॉन्टैक्ट टैब पर जाएं -> सेटिंग्स (शीर्ष दाईं ओर 3 डॉट्स) -> लेखा -> सुरक्षा
  2. “सुरक्षा सूचनाएँ दिखाएँ” के आगे स्लाइडर को स्पर्श करें

निष्कर्ष

ये हमले मुख्य रूप से सैद्धांतिक हैं, और वैसे भी प्रदर्शन करने में आसान नहीं हैं (मदरबोर्ड नोट्स के रूप में, यह "एसएस 7 नेटवर्क का दुरुपयोग करने के लिए तुच्छ नहीं है")। चूंकि 60 मिनट के कार्यक्रम ने इस मुद्दे को उजागर किया, मोबाइल फोन ऑपरेटरों के व्यापार संघ (GSMA) ने मोबाइल नेटवर्क की निगरानी के लिए सिस्टम की एक श्रृंखला स्थापित की है, जो सिग्नलिंग सिस्टम के घुसपैठ या दुरुपयोग की तलाश कर रहा है। हालांकि ये कितने प्रभावी हैं, यह स्पष्ट नहीं है.

यदि आप इस समस्या से चिंतित हैं तो सबसे अच्छी सुरक्षा अभी भी एंड-टू-एंड एन्क्रिप्टेड मैसेजिंग ऐप का उपयोग करना है। हालाँकि, एक का उपयोग करना सुनिश्चित करें जो आपको अपने संपर्क की पहचान की जाँच करने की अनुमति देता है (और वास्तव में इस सुविधा को सक्षम या उपयोग करता है).

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me