Bir WhatsApp hesabının ele geçirilmesi, telefon numaralarının niçin oturum açmak için iyi olmadığını gösteriyor
Ugo geçen Ekim ayında yeni bir ülkeye taşındığında yeni bir telefon numarası aldı. WhatsApp’ın fazlaca popüler olduğu Avrupa’da yaşayan Ugo, yeni telefon numarasını uygulamaya derhal kaydetmedi sadece düzgüsel şekilde kullanmaya devam edebildi. Sadece WhatsApp’a yeni bir telefon numarası bulunduğunu söylediğinde problem başladı.
Profil fotoğrafı genç bir kadının resmine dönüştü ve telefonu İtalyanca konuşan yabancılardan gelen yeni mesajlarla doldu, buna ansızın dahil olduğu grup sohbetleri de dahildi – bunlardan biri kendisinin olmayan bir aileye aitmiş benzer biçimde görünüyordu. .
Mahremiyet sebebiyle soyadının açıklanmasını istemeyen Ugo, istemeden yeni telefon numarasına haiz olan kadının WhatsApp hesabını kendisinden ilkin ele geçirmişti. Etken bir WhatsApp kullanıcısıydı fakat görünüşe gore uygulamaya yeni telefon numarasını söylemeyi dikkatsizlik etmişti. Böylece Ugo, hesabına yeni bir telefon numarası bulunduğunu söylediğinde, hala ona bağlı olan WhatsApp hesabının kontrolünü ele geçirdi ve hesabı kendi hesabıyla birleştirdi.
“Hesabına yeniden erişip erişemeyeceğini bile bilmiyorum bundan dolayı günlerce – aslına bakarsak haftalarca – tüm bu insanlara aradıkları şahıs olmadığımı söyleyip durduğuma karşın hala onun mesajlarını alıyordum. öyleki olduğumu düşündüm, ”dedi Ugo, Recode’a. İyi niyetli olduğum için şanslıydı. Hesabı fazlaca daha azca bağışlayıcı biriyle birleştirilebilirdi.”
Bunun başına gelen tek WhatsApp kullanıcısı Ugo değil. Telefon numarası geri dönüşümü, WhatsApp’ın bilincinde olduğu ve önlemeyi yada çözmeyi büyük seviyede kullanıcılarına bıraktığı bir sorundur. Fakat bununla birlikte WhatsApp’a özgü değil.
Sayısız uygulama ve hizmet, sizi tanımak için telefon numaranıza güvenir ve bu numara kalıcı olmayabilir. Telefon numaraları da bilgisayar korsanlarına karşı savunmasızdır. Asla kalıcı tanımlayıcılar olmaları amaçlanmadı, bundan dolayı Ugo’nun başına gelenler benzer biçimde vakalar, endüstrinin senelerdir bilmiş olduğu yaygın ve devam eden sorunlardır. Bilgisayar korsanlarının yada son zamanlarda atılan telefon numaralarını kolayca satın alan kişilerin hedefli saldırılarından, hesaplarınızın tamamen kesilmesine ve bir yabancının hayatınıza erişmesine kadar, telefon numarası geri dönüşümü hakkında potansiyel riskleri ortaya koyan minimum iki araştırma makalesi vardır.
Gene de, en sevdikleri uygulamalardan bazıları tarafınca kendileri için oluşturulan bir güvenlik sorunundan kendilerini koruma yükü çoğu zaman kullananların üzerindedir. Bu hizmetlerin ek bir güvenlik önlemi olarak önerebileceği metin, SMS yada fazlaca faktörlü kimlik doğrulama benzer biçimde şeyler bile aslına bakarsak daha çok güvenlik açığı oluşturabilir.
sayı problemi
Telefon numaralarını yeniden kullanmasaydık, yakında tükenirdik. Şimal ABD Numaralandırma Planı Yöneticisi’nden (NANPA) alınan verilerin 2017 FCC analizine gore, ABD Birleşik Devletleri’nde her yıl tahmini 35 milyon telefon numarası geri dönüştürülüyor. NANPA, Recode’a şu anda ABD ve topraklarında 2,74 milyar atanabilir telefon numarası bulunduğunu söylemiş oldu, sadece bu, tüm bu numaraların hakkaten atandığı anlamına gelmiyor (FCC verilerine gore bunların ortalama yarısı atanmadı). Bundan dolayı, telefon numaranızı verdiğinizde, başka birine atanması an meselesidir.
ABD Birleşik Devletleri’nde, taşıyıcıların yeni bir kullanıcıya atayabilmeleri için minimum 45 gün beklemeleri gerekir. Sadece bu minimum bekleme süresi yalnızca 2020’de yürürlüğe girdi. Bundan ilkin, bir telefon numarasını geri dönüştürmeden ilkin ne kadar bekleyeceğine operatörler karar veriyordu. Bir FCC raporuna gore bazıları yalnızca birkaç gün bekledi. Ugo’nun yeni telefon numarasını almış olduğu Fransa’da kısa süre ilkin minimum bekleme süresi üç aydan 45 güne indirildi.
Bu, yanlış yönlendirilmiş aramaların gerçekleşmesini oldukça kolaylaştırır. Birkaç on yıl ilkin, durağan(durgun) hattınızdan, sizden ilkin numaraya haiz olan kişiye yönelik telefon aramaları almak can can sıkan olabilir, sadece başka biri için hazırlanmış büyük metin, fotoğraf ve video bloklarıyla bombalanmıyordunuz. telefon numaranız çeşitli mal ve hizmetlerin kilidini açmanın anahtarıydı.
Bununla beraber, akıllı telefon çağlarında, telefon numarası geri dönüşümü büyük bir gizlilik ve güvenlik sorunudur. Birçoğumuz hayatımızın büyük bir bölümünü telefonlarımızda ve üzerlerindeki uygulamalarda saklıyoruz. WhatsApp benzer biçimde bu uygulamalardan bazıları, hesaplara kaydolmak için telefon numaralarımızı gerektirir. Yada telefon numaramızı güvenlik önlemi olarak kullanırız. Sadece telefon numaralarının hiçbir vakit bu işlevleri yerine getirmesi amaçlanmamıştır. Ve Ugo’nun hikayesinin gösterdiği benzer biçimde, istenmeyen sonuçlar ortaya çıkıyor.
Sadece iPhone mobil oyunu değiştirmeden ilkin bile, telefon numaralarının tanımlayıcı olarak kullanılmasıyla ilgili endişeler vardı.
Şu anda siber güvenlik şirketi Q-Net Security’de baş güvenlik görevlisi olan Marc Rogers, “2001 senesinde Vodafone’da çalışırken, bu probleminin geleceğini gördük” dedi.
SFGate, 2006’da geri dönüştürülmüş bir numara alan ve çeşitli kadınlardan gelen metinlerle boğuşan bir adam hakkında bir öykü yayınladı; bu hem nişanlısını rahatsız etti hem de ondan suçlandı bundan dolayı gene bu, 2006’daydı, metin başına ödeme fazlaca fazlaydı. daha yaygın. Daha yakın zamanlarda, Feysbuk ve Airbnb benzer biçimde platformlarda telefon numaralarının el değiştirmesiyle ilgili, hesapların yabancılar tarafınca ele geçirilmesine yol açan pek fazlaca öykü gördük. Hatta daha ilkin WhatsApp’ta da olmuştu.
Mesele yalnız tesadüfi devralmalar değil. Cep telefonlarında SIM yada abone kimlik modülü olarak malum modül bulunur. Bu, çoğu zaman minik bir çıkarılabilir kartta depolanır, sadece daha yeni iPhone’lar bu tarz şeyleri cihazların kendilerine yerleştirmiştir. Fena bir şahıs SIM’inizin kontrolünü ele geçirirse (bu, SIM takma yada SIM değişiklik yapma olarak bilinir) yada size gönderilen metin mesajlarını tekrardan yönlendirebilirse, telefon numaranızın kilidini açmış olduğu hesaplara erişebilir.
Rogers, “SIM takas ekosisteminin tamamı, SMS’in güvenlik açığı çevresinde türemiştir” dedi.
Princeton bilgisayar bilimi profesörü Arvind Narayanan ve araştırmacı Kevin Lee, geri dönüştürülmüş telefon numaralarından meydana gelen güvenlik riskleri üstüne bir çalışmada, T-Mobile ve Verizon’daki mevcut telefon numaralarının çoğunun hala çeşitli internet sayfalarındaki hesaplara ekli bulunduğunu buldular. bu numaralar daha ilkin bu servislere numaralarının değiştiğini hemen hemen söylememişti. Lee ve Narayanan emek verme için satın aldıkları 200 geri dönüştürülmüş numaradan, ortalama yüzde 10’unda numaranın önceki sahibine yönelik kırılgan verileri (kişisel olarak tanımlanabilir bilgiler yada fazlaca faktörlü kimlik doğrulama şifreleri olan herhangi bir şey olarak tanımlandı) elde edebildiler. Ve bu yalnız yedi gün sonraydı.
Sorunlu tanımlayıcılara dönüştürdüğümüz yalnız telefon numaraları değil. Ek olarak, işlerini, adreslerini ve adlarını değiştirseler bile işçilerin kazançlarını takip etmenin bir yolu olarak süregelen, sadece IRS, finans kurumları ve hatta sıhhat sağlayıcıları tarafınca kullanılan ulusal tanımlayıcılara dönüşen Toplumsal Güvenlik numaraları da vardır. Kimliği çalınan hepimiz size bu Toplumsal Güvenlik numara sisteminin muhteşem olmadığını söyleyebilir. E-posta adresleri, benzer bir istenmeyen amaca hizmet eder ve devamlı olarak bir başkasınınkiyle karıştırılan bir e-posta adresiniz var ise gizlilik problemlerine niçin olur.
Sanayi daha fazlasını yapabilirdi, fakat muhtemelen yapmayacak
WhatsApp, minimum 45 gün süresince etkin olmayan ve arkasından değişik bir mobil cihazda etkinleştirilen hesaplardan hesap verilerini kaldırmak benzer biçimde Ugo’nunki benzer biçimde senaryoları önlemek için birkaç adım attığını söylüyor.
WhatsApp, Recode’a “Herhangi bir nedenle belirli bir telefon numarasına bağlı WhatsApp’ı artık kullanmak istemiyorsanız, yapılacak en iyi şey onu yeni bir telefon numarasına aktarmak yada uygulama içindeki hesabı silmektir” dedi. “Her durumda, insanları daha çok güvenlik için iki adımlı doğrulamayı kullanmaya şiddetle teşvik ediyoruz.”
Bu çözümler, işin çoğunu, bazıları sorumluluklarının bilincinde olmayan kullanıcılara bırakıyor. Google ve Amazon benzer biçimde şirketlerin bazı hizmetlerinde yapmış olduğu benzer biçimde iki adımlı yada fazlaca faktörlü kimlik doğrulamanın varsayılan olarak etkinleştirilmesi bu kaçırma vakalarını durduracaktır. WhatsApp ek olarak kullanıcılardan ara sıra telefon numaralarını doğrulamalarını isteyebilir, bu da Ugo’nun yeni numarasının önceki sahibi benzer biçimde kişileri hesap ele geçirilmeden ilkin hesabını aktarmaya teşvik edebilir.
Sektörün — uygulamalar, operatörler, telefon işletim sistemi geliştiricileri — yapabileceği başka şeyler de var. Sadece yasal olarak mecburi olmadıkça yada hakkaten korkulu bir şey olmadıkça çoğu zaman yapmazlar. Ayrıca birçoğu, haiz olmaları gerekmediği durumlarda bile kullanıcılardan telefon numaralarını talep etmeyi sever. Ve bu rakamlardan da daima fazlaca görevli değiller.
“Bunun bir problem bulunduğunu 20 yıl ilkin biliyorduk, sadece tüketiciler için riski azaltacak neredeyse hiçbir şey olmadı. Rogers, muhtemelen siyaset yapıcıların adım atmasının ve telekomünikasyon şirketlerine bunun teknik olarak çözülebileceği yollara bakmaları için baskı uygulamaya başlamasının zamanı gelmiştir” dedi.
Sonunda, işletmeler daima kendi çıkarlarını gözetecek ve bunlar daima sizin çıkarlarınız değil. Kendini korumak zorundasın.
Ne yapabilirsin
Numaranızı değiştirmeyi planlamıyorsanız, bunun sizin için geçerli olmadığını düşünüyor olabilirsiniz. Sadece bu değişim planlanmayabilir. Nakarat olarak telefon numaranızla beraber hit bir şarkı çıkabilir. Ya da başkan bunu bir kampanya mitingi esnasında verebilir. Ya da yapabilirsin Twitter’da ifşa et yapmadığınız suni zeka söyleşi botları hakkında bir noktaya değinmek için düşünmek. Telefon numaranızı değişiklik yapmak zorunda kalabileceğiniz daha ciddi nedenler var. Ya da ölebilirsin, bu durumda artık mahremiyet ve güvenlik mevzularını umursamazsın fakat arkanda bıraktığın insanoğlu ölebilir. Telefon numaranızı sonsuza kadar saklasanız bile, bu gizlilik problemlerinden bazılarına karşı bağışık değilsiniz.
Princeton araştırmacısı Lee, “Numaranızı kısa sürede değiştirmeyi planlamıyorsanız bile, bu geri dönüştürülmüş numaraların yeni sahiplerine haiz olan ve bilincinde olmadan kırılgan detayları gönderen arkadaşlarınız yada aile üyelerinizle etkileşime geçebilirsiniz” dedi.
Problemi çözmenin en iyi yolu, onun bir problem haline gelmesine asla izin vermemektir. Kısaca, telefon numaranızı mümkün olduğunca hesaplarınıza eklemeyin. WhatsApp hesabına kaydolmak benzer biçimde bazı durumlarda başka seçeneğiniz yoktur. Sadece en azından maruziyetinizi en aza indirebilirsiniz.
Narayanan, “İnsanlar numaralarını her türlü nedenden dolayı değiştiriyor ve birinin numarasını her sistemde ve oradaki şahıs sıralamasında güncellemek neredeyse olanaksız” dedi.
Ek olarak, mümkün olan her yerde iki faktörlü kimlik doğrulamayı etkinleştirmek isteyeceksiniz, sadece ikinci unsur olarak telefon numaranızı kullanmayın. Artık bu telefon numarasına erişiminiz yoksa yararsız olmakla kalmaz, bununla birlikte telefon numaralarının ne kadar savunmasız olabileceği düşünülürse hesabınızı genel olarak korumanın iyi bir yolu değildir. Bunun yerine bir kimlik doğrulama uygulaması yada donanım anahtarı kullanın. Bunlar SIM girişi olması imkansız ve telefon numaranızdan bağımsızdır.
Telefon numaranızı eklemeniz ihtiyaç duyulan yada yalnızca metin kimlik doğrulaması sunan bazı uygulamalar ve hizmetler vardır. Bu tarz şeyleri kullanmaktan kaçınmayı deneyebilirsiniz, sadece bu daima mümkün değildir. Lee ve Narayanan’ın çalışmalarında önerdikleri benzer biçimde, bir telefon numarası park etme hizmetini kullanarak eski numaranızın tekrardan dolaşıma girmesini önleyebilirsiniz. Bazıları ayda yalnız birkaç dolar. Sonsuza dek olmak zorunda bile değil; Hesaplarınızı tanımlayıp yeni numaraya geçirmek ve kişilerinizin numaranızın değiştiğini fark etmesi için kendinize daha çok vakit ayırmak için bunu bir yada iki yıl süresince yapmak isteyebilirsiniz.
Sadece, telefon numaranız bir başkasına verildiğinde olabilecek tüm olumsuzlukları göz önünde bulundurursanız, marjinal maliyet buna kıymet olabilir. Aksi takdirde, fazlaca kırılgan olabilecek detayları operatörlere, uygulamalara, internet sayfalarına ve telefon numaranızı bir sonraki kim alacaksa ona emanet etmiş olmuş olursunuz. Bu aşamada, yalnızca ona iyi bakmalarını umabilirsiniz.
