怎麼發生的?在卡巴斯基日報網站上 我們通常談論是一種安全訊息服務但它遭到了成功的攻擊。這是否意味著其著名的安全和隱私只是一個神話?讓我們來看看這次攻擊究竟是什麼樣的以及扮演了什麼角色。讓我們從帳戶與電話號碼關聯的事實開始就像和中所發生的那樣。這種做法雖然常見但並不普遍。
例如安全訊息服務自豪地宣
稱它的賣點之一是它不會將帳戶與電話號碼關聯起來。在中需要電話號碼進行身份驗證使用者輸入自 日本 WhatsApp 號碼數據 己的號碼然後在簡訊中收到代碼。必須輸入此代碼如果正確則表示該使用者是該號碼的所有者。此類帶有一次性代碼的短信的發送是由專門的公司進行的這些公司為各種服務提供相同的身份驗證方法。
就而言其提供者是駭客的
目標正是這家公司。下一步是網絡釣魚。一些員工收到訊息稱他們的密碼可能是舊的需要更新。為此他們被邀請點擊一個確切的網路釣魚連結。 名員工上了誘餌訪問了虛假網 站並輸入了他的登錄詳細信息最終直接落入黑客手中。這些數據允許他們訪問的內部系統從而允許他們向用戶發送簡訊並閱讀它們。
然後駭客使用該服務在新
設備上安裝他們輸入受害者的電話號碼攔截帶有啟動碼的文字然後訪問他們的帳戶。這次事件如何證明的力量?因此事實證明即使也容易受到此類事件的影響。那麼為什麼我們一直在談論您的安全和隱私呢?首先網路犯罪者無法取得信件。使用安全協定進行端對端加密。透過使用端對端加密每個用戶的訊息僅儲存在他們的裝置上而不是儲存在伺服器或其他任何地方。
因此在攻擊基礎設施時根本
無法讀取它們。伺服器上儲存的是使用者的電話號碼及其聯絡人號碼。這允許訊息服務在您的聯絡人註冊時通知您。然而資料首先儲存在稱為安全飛地的特殊儲存中甚至訊號開發人員也無法存取。 其次數字本身不是以純文字形式儲存 的而是以雜湊碼格式儲存的。此機制可讓您手機上的應用程式發送有關聯絡人的加密訊息並接收有關您的哪些聯絡人所使用的相同加密的回應。
換句話說攻擊者也無法存取
使用者的聯絡人清單。最後必須強調的是在其供應鏈中受到了攻擊攻擊者是透過該公司使用的受 將有限的時間投入最有價值的潛在 保護程度較低的服務提供者。因此這是你的薄弱環節。不過對此也有一條救命稻草。該應用程式包含一個名為「註冊鎖定」的功能要啟動它請前往「設定」→「帳戶」→「註冊鎖定」在新裝置上啟動時需要輸入使用者定義的。