/>
توانایی ارسال متن را از دست دادند />
مشتریان T-Mobile از ارسال پیام های متنی به مدت ده روز تحت الشعاع قرار گرفتند زیرا کلمه "شکم" را ارسال می کردند. هنگامی که سایه بان می شوند ، کاربران T-Mobile متوجه نمی شوند که سانسور شده اند زیرا پیام های آنها هنوز به نظر می رسد که در حال گذر هستند ، اما از طرف دیگر هیچ چیز دریافت نمی شود. به بهترین وجهی که هرکسی می تواند بگوید ، این پیکربندی غلط از اقدامات ضد اسپم T-Mobile است. هنگامی که پستی در مورد Subreddit T-Mobile منتشر شد ، بسیاری از افراد در حال آزمایش و تأیید این امر بودند که قادر به ارسال کلمه "شکم" نیستند ، اما کلمات مرکب با کلمه توهین آمیز مانند "underbelly" و "bellyrub" درست بودند. خوب. T-Mobile هیچ اظهارنظر عمومی درباره میزان گسترده این خطا نکرده است. از گزارشات کسانی که قادر به وارد شدن به فساد سانسور T-Mobile بودند ، T-Mobile این مسئله را طی چند ساعت برطرف کرد.
در بحث subreddit ، کارمندان T-Mobile فاش کردند که آنها شاهد این فعالیت بوده اند و ممنوعیت ده روزه اولین قدم است در حالی که حتی نود روزه ممنوعیت حمل و نقل نیز وجود دارد که می تواند برای کاربران پیام کوتاه اس ام اس قابل پرداخت نباشد. اگرچه خوب است بدانید که اقدامات ضد اسپم وجود دارد که می تواند پیام های ناخواسته "خلاص شدن از شر چربی شکم را از بین ببرد" متوقف کند ، دیدن چنین فیلتر نادرست کاملاً ناامید کننده است. با این حال ، برای بسیاری ، این اولین بار است که آمریکایی ها علیه نظارت بر پیام کوتاه و سانسور از طریق پیام کوتاه خودداری می کنند. در چین ، این یک اتفاق طبیعی حتی خارج از پیامک است. کاربران برنامه پیام فوری WeChat از تصاویر و ممنوعیت ارسال شده برای فیلتر شده برخوردار هستند و اگر تصویری توهین آمیز از Xinnie the Pooh ارسال می کنید یا به برخی از نکات حساس مانند قتل عام میدان Tiananmen اشاره می کنید ، پیام های شما نیز به جای هدف مورد نظر به یک سیاه چاله ارسال می شوند.
درسی در زمینه نظارت و سانسور پیام های متنی
بسیاری از آنها متحیر شدند که متوجه شدند T-Mobile می تواند پیام های متنی خود را بخواند و سانسور کند. اگر این مسئله وجود دارد ، پیام کوتاه را نشان می دهد – پیامک چیست. نکته ای که مشتریان T-Mobile متوجه شدند این بود که افرادی که از iMessage برای ارسال پیام از آیفون T-Mobile یا iPad به دستگاه دیگر iOS T-Mobile استفاده می کنند ، مهم نیستند که چند بار از کلمه "شکم" استفاده کرده اند. اگر آنها این کلمه را از یک دستگاه iOS T-Mobile به Android ارسال کنند ، اما تحت تأثیر قرار گرفتند. دلیل این است که پیام های iOS به iOS به طور پیش فرض از استفاده از iMessage استفاده می کنند – که رمزگذاری شده است. هنگامی که یک پیام به متن ارسال می شود ، ارائه دهنده داده های تلفن همراه می تواند محتوای آن را کاملاً مشاهده کند ، و همچنین متن ها را کاملاً نظارت می کند و اگر چیزی را که دوست ندارند مشاهده کنند ، بدون اطلاع به شما کاملاً سایه بان می کنند. در حقیقت ، T-Mobile اولین کسی بود که در دادگاه فدرال تأسیس کرد که یک شرکت ارتباطات بی سیم حتی می تواند به طور قانونی در سال 2010 این کار را انجام دهد. آنهایی که دوست ندارند ایده یک سرویس مستعد خطا را سانسور پیام های cleartext شما را دوست دارند ، باید در نظر بگیرند. برنامه های پیام رسانی رمزگذاری شده پایان به پایان. نیاز به ایجاد این سوئیچ یک درس ارزشمند است که افراد در کشورهای معترض و مناطقی مانند مصر و هنگ کنگ از مدت ها قبل آموخته اند: حریم خصوصی با رمزگذاری محافظت می شود. وقتی چیزی کاملاً واضح است ، می تواند با آن اشتباه گرفته شود.
احراز هویت – آیا باید پیام های اس ام اس حاوی کلمه عبور یک بار حذف کنم؟
طبق معمول، ابتدا با تعریف مدل تهدید شروع کنیم: شما نگران کسی هستید که گوشی خود را نگه دارید و از طریق تاریخچه اس ام اس شما نگاه کنید. اما شما در مورد SMSes که درگیر شده اند نگران نباشید. این کمی از یک مدل امنیتی عجیب و غریب است که موجب می شود SMSes ها به راحتی از بین برود و تلفن شما سرقت شود و از طریق یک رمز عبور قوی نسبتا سخت باشد. اما خوب.
بگو آیا اگر احراز هویت سایت از یک الگوریتم ناامن برای تولید رمز عبور یک بار استفاده کند. با توجه به تاریخچه کافی از گذرواژههای یکبار، کسی که قادر به بازیابی اس ام اس ذخیره شده در تلفن من است، میتواند پسورد یکبار دیگر را در دنباله ایجاد کند.
البته نمیتوانم تضمین کنم که هر سایت در اینترنت ویژگی OTP، اما این یک استاندارد بسیار دقیق تعریف شده است. دیدن ویکیپدیا / HOTP از آنجایی که این بر اساس توابع هش شبیه رمزنگاری قوی است، هیچ خطری برای مهاجم ایجاد ارزش های آینده از گذشته وجود ندارد. و یا اگر آنها می توانند، سپس تابع هش شکسته می شود و آنها را به نفع یک بهتر بازنشسته می شود.
همچنین ممکن است که یک وب سایت به درستی بخش "یک بار" یک بار اجرا نمی شود رمز عبور، اما منظورم این است، یک بخش بسیار اساسی از اجرای سیستم OTP
اس ام اس 2FA متوقف می شود
Reddit فقط نشان داد که آنها در اثر یک SMS متوقف شده 2FA تجربه نقض امنیتی را تجربه کردند. یکی دیگر از پست در SMS 2FA اشاره به نقص در پروتکل ss7 مخابرات است که برای انجام نقض استفاده شد.
من مطمئن نیستم که آیا رویداد Reddit شامل تکنیک ss7 یا نوعی فیشینگ کیت برای دریافت کد مخرب روی دستگاهی است که SMS دریافت کرده است. با این حال اگر از منفذ استفاده می شد انتظار داشتم که دستگاه اصلی پیام را دریافت کند و مالک متوجه شود که آن را درخواست نکرده و به تیم امنیت شرکت خود هشدار داده است. گفته می شود که آیا هکرها می توانند دستگاه قانونی را از درخواست خود برای SMS 2FA متوقف کنند یا اینکه آنها مجبور بودند صبر کنند تا هدف را درخواست کنند و فقط سعی در ضرب و شتم آنها برای ورود به سیستم داشته باشند؟
آندروید – شماره تلفن به نظر می رسد به طور موقت ربوده شده است
1. آیا هر گونه حملات مثل این قبلا گزارش شده است؟ (نمی تواند پیدا کند)
ربودن سیم کارت امکان پذیر است، هنگام انتقال شماره فعلی به یک شبکه متفاوت موجود، یک کد PAC می تواند استفاده شود. با این حال، هنگام انتقال شماره فعلی به یک سیم کارت دیگر (همان شبکه)، این می تواند یک فرایند سریع باشد. نکات فنی Linus این نوع از ربودن را تجربه کرد.
اگر چه، این سیم کارت قدیمی را برای اهداف امنیتی غیرفعال می کند. بنابراین با توجه به آنچه که شما توضیح داده اید، این به نظر می رسد کمتر قابل قبول است.
2. چه چیز دیگری می توانم انجام دهم تا سعی کنه چیکار کنم؟
Samsung Galaxy S8 با آندروید 8.0 و بالاتر عرضه شد. بدین ترتیب، پس از آن سد سازی صورت گرفت.
به احتمال زیاد، اما نسخه شما از آندروید می تواند شامل یک سوء استفاده، بررسی CVE برای نسخه آندروید خود را بررسی کنید. همه برنامه های نصب شده که دارای مجوز های SMS، و یا هر مجوز است که می تواند بلند، کنترل و برقراری تماس تلفنی و / یا خواندن اس ام اس را بررسی کنید. که ممکن است یک بردار حمله برای دسترسی به پیام های اس ام اس شما فراهم کرده باشد. با ریشه کن کردن یک دستگاه Android، ما فقط می دانیم که هسته اصلاح شده کد را امضا نکرده است. با این حال، اگر یک آسیب پذیری شناسایی شد که به یک فرار از زندان اجازه داده شد، افزایش امتیاز می تواند بدون دانش کاربر رخ دهد. اگرچه این تنها گمانه زنی است و به خصوص بعید است شما نوعی نرم افزار جاسوسی را اجرا کنید.
احراز هویت – اس ام اس OTP به عنوان 2FA – آیا باید اس ام اس در اس ام اس برای تایید کاربر وجود داشته باشد؟
چند بار من پیاده سازی SMS 2FA را هنگامی که یک وب سایت نشان می دهد "sms id session" (به عبارتی، 8 رقمی نشانگر) را بلافاصله پس از ارسال اس ام اس به کاربر همراه با OTP فوری نشان می دهد. اس ام اس همراه با OTP (به عنوان مثال، 4 رقم) و شناسه اس ام اس (8 رقمی).
پس از آن کاربر باید شناسه session id اس ام اس در اس ام اس را در UI وب سایت و تنها پس از آن OTP را وارد کنید. اگر اسم شناسه جلسه مطابقت نداشته باشد، کاربر باید متوقف شود و از ورود OTP جلوگیری کند.
تعجب این نوع گردش کاری است که به دلایل امنیتی ساخته شده است؟ و تأیید اسناد session id از برخی از حملات محافظت می کند
یک مثال از چنین گردش کار: webmoney.ru
