Ekspertlar Telegram va WhatsApp’ga buzib kirish mumkinligini ko‘rsatib berdi

10.05.2016

2710

Positive Technologies ekspertlari Telegram va WhatsApp’ni parolli SMS’ni yuborishi mumkin bo‘lgan aloqa operatori ko‘magisiz buzish mumkinligini isbotladi.

Buning uchun ekspertlar Telegramda sinov akkauntlarini ochdi va bir-biriga bir nechtadan xabar jo‘natdi. So‘ng SS7 tarmog‘i (ko‘pchilik telefon stansiyalari sozlamalarida qo‘llaniladigan signalli telefon protokollari to‘plami) orqali mutaxassislar sinov raqamlaridan biriga hujum uyushtirdi.

Natijada ular IMSI (mobil abonentning xalqaro identifikatori)ni bilib oldi va qurbonning profiliga ega bo‘lish uchun, uni o‘z terminaliga qaytadan ro‘yxatga kiritdi. Shundan keyin telefon raqami ekspertlarning to‘liq nazorati ostiga o‘tdi.

Endi mutaxassislar boshqa qurilmadan qurbonning akkaunti ostida Telegram’ga ulandi va messenjerdagi akkauntga kirish imkonini beruvchi kod yozilgan SMS’ni qabul qildi. Shu lahzadan boshlab ular Telegram serverdan yuklab olgan barcha yozishmalarni o‘qishi va qurbonning nomidan muloqot olib borishi mumkin bo‘ldi.

Shunga o‘xshash yo‘l bilan ekspertlar WhatsApp akkauntini ham qo‘lga kiritdi. Ammo bu messenjer yozishmalarni serverda saqlamaydi, shu tufayli uni qurbonning smartfonidan o‘qib bo‘lmadi.

WhatsApp’da qurbonning nomidan muloqot olib borish mumkin va u bu haqda bilmaydi ham. Yozishmalar Google Drive’da saqlangani bois, Google’dagi akkauntga buzib kirilgach, ushbu ma’lumotlar ham yovuz niyatlilar qo‘liga tushishi mumkin.