يسمح تطبيق "Ghost telephonist" للمتسللين بالتحكم في هاتفك

اكتشف باحثون صينيون هجومًا جديدًا يدعى "Ghost Telephonist" ، والذي يمكّن المتسللين من التحكم في الهاتف المحمول ، مما يتيح لهم الوصول إلى جميع الرسائل ومحتوى دفتر الهاتف على الجهاز.

يوم الأحد ، اكتشفت مجموعة من الباحثين من 360 UnicornTeam من 360 Technology هذا الاختراق في قمة المتسللين المستمرة Black Hat USA 2017.

وفقًا لتقرير صادر عن وكالة أنباء شينخوا ، في عرض الفريق ، قدم باحثو الأمن نقطة ضعف واحدة في CSFB (Circuit Switched Fallback) في شبكة 4G LTE. تم العثور على خطوة المصادقة مفقودة.

وقال هوانغ لين ، باحث الأمن اللاسلكي بشركة يونيكورن تيم لشينخوا ، "يمكن إجراء العديد من عمليات الاستغلال بناءً على هذه الثغرة الأمنية". لقد أبلغنا عن هذه الثغرة الأمنية أمام النظام العالمي لتحالف الاتصالات المتنقلة (GSMA)."

المزيد في الأخبار: Facebook و Harvard يداً بيد ضد المتسللين والأخبار المزيفة

أظهر الفريق كيف يمكن إعادة تعيين كلمة مرور حساب Google باستخدام رقم جوال مسروق.

بعد اختطاف اتصال المستخدم ، سجّل الباحث الدخول إلى بريد Google الإلكتروني الخاص بالمستخدم وانقر على "نسيت كلمة المرور". نظرًا لأن Google ترسل رمز التحقق إلى هاتف الضحية ، فيمكن للمهاجمين اعتراض نص SMS ، وبالتالي إعادة تعيين كلمة مرور الحساب.

نظرًا لأن Google ترسل رمز التحقق إلى هاتف الضحية ، فيمكن للمهاجمين اعتراض نص SMS وإعادة تعيين كلمة مرور الحساب.

نظرًا لأنه يمكن إعادة تعيين كلمة المرور على العديد من الخدمات عبر الإنترنت باستخدام نص التحقق الذي تم إرساله إلى رقم الهاتف ، فإن هذا الهجوم سيسمح للمتسللين بالتحكم في الخدمات عبر الإنترنت المرتبطة بأي رقم هاتف يتسلمونه.

المزيد في الأخبار: الذكاء الاصطناعي لـ Facebook يخلق لغته الخاصة ؛ يربك المطورين

وفقًا للباحثين ، يمكن للمهاجم أيضًا إجراء مكالمة أو رسالة قصيرة عبر انتحال شخصية الضحية. لن يشعر الضحية بالاعتداء لأنه لم يتم استخدام محطة قاعدة وهمية 4G أو 2G وعدم إعادة اختيار الخلايا. هذه الهجمات يمكن أن تختار بشكل عشوائي الضحايا أو تستهدف ضحية معينة.

اتصل الباحثون بمزودي خدمات الاتصالات للحصول على اقتراحات حول كيفية معالجة مشكلة عدم الحصانة هذه ويعملون حاليًا مع المشغلين ومصنعي الأجهزة الطرفية لإصلاحها.

(مع مدخلات من IANS)