محققان علوم‌ کامپیوتر روش جدیدی را برای شناسایی نقاط ضعف امنیتی کشف کرده‌اند که افراد را در برابر حملات کنترل حساب آسیب‌پذیر می‌کند، جایی‌که مهاجم به حساب‌های آنلاین دسترسی غیر‌مجاز پیدا می‌کند.

به گزارش پایگاه اطلاع‌رسانی پلیس فتا، اکثر تلفن‌های همراه در‌حال‌حاضر خانه اکو‌سیستم پیچیده‌ای از نرم‌افزار‌های عامل و برنامه‌های به‌هم‌پیوسته هستند و با افزایش ارتباطات بین سرویس‌های آنلاین، فرصت‌های هکر‌ها برای سوء‌استفاده از ضعف‌های امنیتی، اغلب با عواقب فاجعه‌باری برای صاحبان‌شان افزایش می‌یابد.

حیله نگاه‌کردن از روی شانه یک نفر برای یافتن پین به‌خوبی شناخته شده است، با‌این‌حال، بازی نهایی برای مهاجم دسترسی به برنامه‌هایی است که اطلاعات شخصی زیادی را ذخیره می‌کنند و می‌توانند به حساب‌هایی مانند آمازون، گوگل، ایکس، اپل‌پی و حتی حساب‌های بانکی دسترسی پیدا کنند.

برای درک و جلوگیری از این حملات، محققان باید به ذهن هکر وارد می‌شدند که می‌توانند با ترکیب مراحل تاکتیکی کوچک‌تر، یک حمله پیچیده بسازد.

تا‌کنون، آسیب‌پذیری‌های امنیتی با استفاده از «نمودار‌های دسترسی به حساب» مورد مطالعه قرار گرفته‌اند که تلفن، سیم‌کارت، برنامه‌ها و ویژگی‌های امنیتی را نشان می‌دهد که هر مرحله دسترسی را محدود می‌کند.

با‌این‌حال، نمودار‌های دسترسی به حساب، تصاحب حساب را مدل نمی‌کنند، جایی‌که مهاجم یک دستگاه یا یک برنامه را با خارج‌کردن سیم‌کارت و قرار‌دادن آن در تلفن دوم از اکو‌سیستم حساب جدا می‌کند، از آنجایی که پیام‌های SMS در تلفن دوم قابل مشاهده خواهند بود، مهاجم می‌تواند از روش‌های بازیابی رمز‌عبور مبتنی‌بر پیامک استفاده کند.

محققان این مانع را با توسعه روشی جدید برای مدل‌سازی نحوه تغییر دسترسی به حساب هنگام قطع ارتباط دستگاه‌ها، سیم‌کارت‌ها یا برنامه‌ها از اکو‌سیستم حساب، بر‌طرف کردند.

روش آنها که مبتنی‌بر منطق رسمی مورد استفاده ریاضیدانان و فیلسوفان است، انتخاب‌های پیش‌روی یک هکر را که به تلفن همراه و پین دسترسی دارد، نشان می‌دهد.

محققان انتظار دارند که این رویکرد برای سازندگان دستگاه و توسعه‌دهندگان اپلیکیشن‌هایی که مایل هستند آسیب‌پذیری‌ها را فهرست‌بندی کنند و درک بیشتری از حملات هکری پیچیده داشته باشند، اتخاذ شود.

حساب منتشر‌شده همچنین جزئیاتی را نشان می‌دهد که چگونه محققان رویکرد خود را در برابر ادعا‌های ارائه‌شده آزمایش کردند، که حدس می‌زد که استراتژی حمله‌ای که برای دسترسی به داده‌ها و حساب‌های بانکی در آیفون استفاده می‌شود، می‌تواند در اندروید نیز تکرار شود، حتی اگر چنین حملاتی وجود نداشته باشد.

برنامه‌های اندروید از Play Store نصب می‌شوند و نصب به حساب Google نیاز دارد و محققان دریافتند که این اتصال ،محافظت در برابر حملات را فراهم می‌کند.

نتایج شبیه‌سازی‌ها نشان داد که استراتژی‌های حمله استفاده‌شده توسط هکر‌های آیفون برای دسترسی به Apple Pay به‌دلیل ویژگی‌های امنیتی در حساب Google، نمی‌تواند برای دسترسی به Android Pay در اندروید استفاده شود، شبیه‌سازی‌ها همچنین یک راه‌حل امنیتی برای آیفون پیشنهاد می‌کردند که نیاز به استفاده از رمز‌عبور قبلی و همچنین پین داشت، انتخاب ساده‌ای که اکثر کاربران از آن استقبال می‌کنند.

اپل اکنون راه‌حلی را برای این موضوع اجرا کرده است و لایه جدیدی از محافظت را برای کاربران آیفون ارائه می‌کند.

محققان این تمرین را در دستگاه‌های دیگر Motorola G10 Android 11، Lenovo YT-X705F Android 10، Xiaomi Redmi Note Pro 10 Android 11 و Samsung Galaxy Tab S6 Lite Android تکرار کردند،در‌اینجا آن‌ها دریافتند که دستگاه‌هایی که حساب‌های سازنده خودشان را دارند (سامسونگ و شیائومی) آسیب‌پذیری مشابهی با اپل دارند ، اگر‌چه حساب Google ایمن باقی می‌ماند، اما حساب‌های سفارشی به‌خطر افتاده است.

محققان همچنین از روش خود برای آزمایش امنیت روی دستگاه‌های تلفن‌ساده خود استفاده کردند که نتیجه غیر‌منتظره‌ای به‌همراه داشت،یکی از آن‌ها دریافت که دسترسی همسرش به یک حساب مشترک iCloud امنیت او را به‌خطر انداخته است ،در‌حالی‌که اقدامات امنیتی او تا آنجا که می‌توانست امن بود، اما زنجیره اتصالات او امن نبود.