וואלה
וואלה
וואלה
וואלה

וואלה האתר המוביל בישראל - עדכונים מסביב לשעון

מתקפה מאפשרת לדעת איפה אתם עם הודעת טקסט פשוטה

עודכן לאחרונה: 25.10.2022 / 13:15

חוקרי אבטחה מצאו שניתן להשתמש בזמן שלוקח להודעה נשלחת להגיע לטלפון שלכם כדי לאתר את המיקום שלכם, לעתים בדיוק של מעל ל-80 אחוזים. כך זה עובד

הודעת SMS. ShutterStock
הודעת SMS/ShutterStock

חולשה מפתיעה מאפשרת לתוקפים לדעת היכן אתם נמצאים, בהתבסס פשוט על שליחת הודעות לתוכנות מסרים מיידיים כמו וואטסאפ או סיגנל. צוות חוקרים מצא שניתן לאתר מיקום של יעד בדיוק של לעתים מעל ל-80 אחוזים, על ידי שליחת הודעת טקסט ותזמון של הגעתה. הסוד טמון בעובדה שזמן הקבלה של הודעות, המשתמשות בנתיבי הולכה קבועים ברשת, ניתן למדידה. במילים אחרות - ניתן להשתמש בזמן שלקח להודעת טקסט להגיע אליכם (ואישור קבלה אצל התוקף) כדי לחשב את המיקום שלכם (לצורך העניין, בוואטסאפ זה יהיה ההשתנות בין וי בודד לשני סימני וי, כאשר לקריאת ההודעה במקרה הזה אין משמעות).

וואטסאפ. ShutterStock
לדעת היכן אתם נמצאים, בהתבסס פשוט על שליחת הודעות בוואטסאפ/ShutterStock

ברם, ההתקפה הזו אינה מושלמת. היא דורשת ידע מוקדם, ומיפוי של זמני הגעת הודעות קודמים ליעד גיאוגרפי ידוע לתוקף כמו הבית שלכם או מקום עבודה, כך שהיא לא ממש אפקטיבית, אלא כלפי יעד שמושקע בו מאמץ מתמשך. רק אחרי שנאסף מידע האיכון הראשוני הזה, ניתן להפוך את המתקפה הזו לשימושית.

לפי הממצאים, רמת הדיוק השתנתה בין תוכנות שונות, וכך לדוגמא, בסיגנל היא הגיעה ל-82 אחוזים, ובוואטסאפ ל-74 אחוזים. לפי החוקרים כדי להגן על משתמשים מפני איתור שכזה, על מפעילות תוכנות המסרים להכניס מידה מסויימת של אקראיות לזמני שליחת וקבלת ההודעות בשרת (כמו תוספת אקראית של כמה שניות, למשל) זו, תהפוך את המתקפה הזו לבלתי יעילה. אפשרות נוספת היא בצד היעד, פשוט להשתמש בחיבור הכולל שימוש ב-VPN, כך שהמעבר בין שרתים נוספים בדרך יהפוך גם הוא את המתקפה הזו לחסרת טעם.

טרם התפרסמו תגובות

הוסף תגובה חדשה

+
בשליחת תגובה אני מסכים/ה
    2
    walla_ssr_page_has_been_loaded_successfully