सेप्टेम्बर 23, 2017

यहाँ छ कि कसरी ह्याकरहरूले तपाईको जीमेल आईडी र बिटकॉइन वालेट एसएस Fla फ्लू प्रयोग गरी अपहरण गर्न सक्दछन्

सुरक्षा अनुसन्धानकर्ताहरु बाट 'सकारात्मक टेक्नोलोजीहरू' विश्वव्यापी टेलिकॉम नेटवर्कमा एक अन्तर दोष यकिन गर्नु कत्तिको जरुरी छ भनेर प्रमाणित गरिसक्यो। एक भिडियो प्रदर्शनमा, तिनीहरूले कसरी साइबर अपराधकर्मीहरूले यसको शोषण गर्न सक्छन् भनेर देखाए SS7 दोष प्रमाणीकरण कोड युक्त पाठ सन्देशहरू पहुँच गर्न र तपाईंको सबै फन्डहरू चोरी गर्नबाट Bitcoin वालेटहरू.

ह्याकि--बिटकॉइन-वालेट-प्रयोग-एसएस Fla-फ्ल्याव (१)

सकारात्मक टेक्नोलोजीहरूको अनुसन्धानले उनीहरूलाई केवल आवश्यक भएको कुरा पत्ता लगायो पहिलो र अन्तिम नामफोन नम्बर Bitcoin खातावालाको तिनीहरूको खातामा सम्झौता गर्न। आक्रमण प्रदर्शन गर्दा, सकारात्मक अन्वेषकहरू पहिलो गए जीमेल केवल एक फोन नम्बरको साथ ईमेल खाता फेला पार्न। लक्ष्यको जीमेल ठेगाना र फोन नम्बर प्राप्त गरेपछि, उनीहरूले खाताको लागि पासवर्ड रिसेट अनुरोध आरम्भ गरे, जुन एक पटकको प्रमाणीकरण कोड पठाउने लक्ष्यको फोन नम्बरमा पठाउन समावेश छ।

सकारात्मक अन्वेषकहरू त्यसपछि सक्षम थिए SMS सन्देशहरू रोक्नुहोस् एसएस in मा ज्ञात डिजाईन गर्ने त्रुटिहरूका शोषण गरेर जीमेल खातामा पहुँच प्राप्त गरी २ एफए कोड समावेश गर्दै। त्यहाँबाट, अन्वेषकहरू सीधा कोइनबेस खातामा गए जुन सम्झौता गरिएको जीमेल खातासँग दर्ता गरिएको थियो र शुरू गरिएको थियो अर्को पासवर्ड रिसेटयस समयका लागि शिकारको Coinbase वालेट। त्यसपछि उनीहरूले वालेटमा लग इन गरे र यसलाई क्रिप्टो-नगद खाली गरे।

सकारात्मक टेक्नोलोजीहरूले पनि प्रुफ-अफ-कन्सेप्ट भिडियो साझा गरेका छन्, ए मा ह्याक गर्न कत्तिको सजिलो छ भनेर प्रदर्शन गर्दै Bitcoin वालेट केवल ट्रान्जिटमा पाठ सन्देशहरू रोक्दै।

Bitcoin Wallet र चोरी कोषमा कसरी ह्याकरहरू ह्याक गरियो भनेर हेर्नुहोस्

YouTube भिडियो

केवल क्रिप्टोकरन्सी वालेटहरू मात्र होईन, यो त्रुटिले तपाईंको बैंकिंग र सामाजिक मिडिया खाताहरूलाई जोखिममा राख्छ। "यो ह्याकले कुनै पनि स्रोत - वास्तविक मुद्रा वा भर्चुअल मुद्रा - जुन पासवर्ड रिकभरीको लागि एसएमएस प्रयोग गर्दछ ,का लागि काम गर्दछ।" सकारात्मक अनुसन्धानकर्ता दिमित्री कुर्बाटोभले भने।

यो मुद्दा Coinbase मा एक जोखिम जस्तै देखिन्छ, तर यो छैन। वास्तविक कमजोरी सेलुलर प्रणालीमा नै रहन्छ।

"यो मोबाइल नेटवर्कमा एक जोखिम हो, जसको अन्त्यमा अर्थ यो सबैको लागि समस्या हो, विशेष गरी सेवाहरू मोबाइल नेटवर्कमा निर्भर सुरक्षा कोडहरू पठाउन," दिमित्री कुर्बाटोभ भन्छन्।

१ 1980 s० को दशकमा सिर्जना गरिएको, सिग्नलिंग प्रणाली ((SS7) एक टेलिफोनी सिग्नलिंग प्रोटोकल हो जुन विश्वभरि 800०० भन्दा बढी टेलिकम अपरेटरहरूलाई रोक्दछ र अन्य सेवाहरू सक्षम पार्दै, डाटा मार्फत कल र पाठहरू जस्ता आपसमा कनेक्ट गर्न र डाटा साटासाट गर्न शक्ति प्रदान गर्दछ।

अनुसन्धानकर्ताहरूले एसएस with को साथ महत्वपूर्ण मुद्दाहरूको बारेमा वर्षौंदेखि चेतावनी दिइरहेका छन् जुन सेलर नेटवर्कहरूले प्रयोग गरेको सबैभन्दा उन्नत ईन्क्रिप्शनको बावजूद ह्याकरहरूलाई निजी फोन कलहरू सुन्न र सम्भावित विशाल पैमानेमा टेक्स्ट सन्देशहरू पढ्न अनुमति दिन सक्छ। २०१ In मा, यो रिपोर्ट गरिएको थियो कि SS7 जोखिम agencies०% शुद्धताका साथ विश्वभर कुनै पनि स्थानबाट मोबाइल फोन प्रयोगकर्ताहरूको आवागमन ट्र्याक गर्न सरकारी एजेन्सीहरू र गैर-राज्य अभिनेताहरू द्वारा समान रूपमा प्रयोग गर्न सकिन्छ।

यस वर्षको शुरूमा, साइबर अपराधकर्मीहरूले एसएस in मा यो डिजाईन त्रुटि प्रयोग गरी पीडितको बैंक खातामा हमला गर्न र बैंकले उनीहरूका ग्राहकहरूलाई पठाएको दुई-कारक प्रमाणीकरण कोड (ओटीपी) लाई अवरोध गरेर वित्तीय लेनदेन गर्नका लागि प्रयोग गर्थे।

त्यसोभए, जबसम्म दूरसंचार उद्योगले एसएस more लाई अधिक सुरक्षित बनाउन कदम चाल्दैन, प्रयोगकर्ताहरूले आफैंमा कदमहरू चाल्नु पर्छ। OTP कोडहरू प्राप्त गर्नका लागि एसएमएस पाठको माध्यमबाट दुई-عنصر प्रमाणीकरण प्रयोग नगर्नुहोस्। यसको सट्टा, दोस्रो प्रमाणिकरण कारकको रूपमा क्रिप्टोग्राफिक-आधारित सुरक्षा कुञ्जीहरूमा भर पर्नुहोस्। तपाईं जस्तै उपकरणहरू प्रयोग गर्न सक्नुहुन्छ गुगल प्रमाणिकर्ता, गुगल प्रम्प्ट, वा अतिरिक्त सुरक्षा को लागी सुरक्षा कुञ्जी।

हाम्रो डाउनलोड गर्नुहोस् क्रिप्टो समाचार एन्ड्रोइड अनुप्रयोग र कुनै पनि अपडेट कहिले पनि मिस नगर्नुहोस्।

लेखक बारे 

चैतन्य


email "ईमेल": "ईमेल ठेगाना अवैध", "url": "वेबसाइट ठेगाना अवैध", "आवाश्यक": "आवश्यक फिल्ड हराइरहेको छ"}