روش جدید برای محافظت حساب های تلفن همراه
به گزارش رسانه مدیاتی، محققان علوم کامپیوتر روش جدیدی را برای شناسایی نقاط ضعف امنیتی که افراد را در برابر حملات کنترل حساب آسیبپذیر میکند، پیدا کردهاند؛ جایی که مهاجم به حسابهای آنلاین دسترسی غیرمجاز پیدا میکند. برای درک و جلوگیری از این حملات، محققان باید به ذهن هکر وارد میشدند که میتواند با ترکیب مراحل تاکتیکی کوچکتر، یک حمله پیچیده بسازد.
دکتر لوکا آرنابولدی از دانشکده علوم کامپیوتر بیرمنگام با پروفسور دیوید آسپینال از دانشگاه ادینبورگ، دکتر کریستینا کولب از دانشگاه توئنته و دکتر ساسا رادومیروویچ از دانشگاه ساری، روی پیدا کردن راهی جهت فهرستنویسی آسیبپذیریهای امنیتی و مدلسازی حسابها کار کردند.
تا به امروز، آسیبپذیریهای امنیتی با استفاده از نمودار دسترسی به حساب، بررسی شده است که فقط نشان میدهد تلفن، سیم کارت یا برنامه، در چه مرحلهای تصاحب شدهاند. با این حال، نمودارهای دسترسی به حساب، جزئیات تصاحب حساب را نشان نمیدهند، جایی که مهاجم یک دستگاه یا یک برنامه را از حساب جدا میکند؛ مثلاً با خارج کردن سیمکارت و قرار دادن آن در تلفن دوم. از آنجایی که پیامهای SMS در تلفن دوم قابل مشاهده خواهند بود، مهاجم میتواند از روشهای بازیابی رمز عبور مبتنی بر پیامک استفاده کند.
محققان با توسعه روشی جدید، برای تغییر نحوه دسترسی به حساب، هنگام قطع ارتباط دستگاهها، سیمکارتها یا برنامهها از حساب، این مانع را برطرف کردند. روش آنها که مبتنی بر منطق مورد استفاده ریاضیدانان و فیلسوفان است، انتخابهای پیش روی یک هکر را که به تلفن همراه و پین دسترسی دارد، نشان میدهد.
بیشتر بخوانید: دوربین 48 مگاپیکسلی در آیفون 16 پرو مکس، شایعه یا واقعیت؟
محققان انتظار دارند که این رویکرد برای سازندگان دستگاه و توسعهدهندگان اپلیکیشنهایی که مایلند آسیبپذیریها را فهرستبندی کنند و درک بیشتری از حملات هکری پیچیده داشته باشند، اتخاذ شود.
حدس زده میشود که استراتژی حملهای که برای دسترسی به دادهها و حسابهای بانکی در آیفون استفاده میشود، میتواند در اندروید نیز تکرار شود، حتی اگر چنین حملاتی وجود نداشته باشد. برنامهها برای Android از Play Store نصب میشوند. نصب به حساب Google نیاز دارد و محققان دریافتند که این اتصال، محافظت در برابر حملات را فراهم میکند.
نتایج شبیهسازیهای ما نشان داد که استراتژیهای حمله استفاده شده توسط هکرهای آیفون برای دسترسی به Apple Pay، به دلیل ویژگیهای امنیتی در حساب Google، نمیتواند برای دسترسی به Android Pay در اندروید استفاده شود. شبیهسازیها همچنین یک راه حل امنیتی برای آیفون پیشنهاد میکردند؛ استفاده از رمز عبور قبلی و همچنین پین، انتخاب سادهای که اکثر کاربران از آن استقبال میکنند.
اپل اکنون راه حلی را برای این موضوع اجرا کرده است و لایه جدیدی از محافظت را برای کاربران آیفون ارائه میکند.
محققان این آزمایش را در دستگاههای دیگر (Motorola G10 Android 11، Lenovo YT-X705F Android 10، Xiaomi Redmi Note Pro 10 Android 11 و Samsung Galaxy Tab S6 Lite Android) تکرار کردند. آنها دریافتند که دستگاههایی که حسابهای سازنده خودشان را دارند (سامسونگ و شیائومی) آسیبپذیری مشابهی با اپل دارند؛ اگرچه حساب Google ایمن باقی میماند، اما حسابهای سفارشی به خطر افتاده است.
محققان همچنین از روش خود برای آزمایش امنیت روی دستگاههای تلفن همراه خود استفاده کردند که نتیجه غیرمنتظرهای به همراه داشت. یکی از آنها دریافت که دسترسی همسرش به یک حساب مشترک iCloud امنیت او را به خطر انداخته است؛ در حالی که اقدامات امنیتی او تا آنجا که میتوانست امن بود، زنجیره اتصالات او امن نبود. پس توجه به هر دو مورد الزامی است.