וואטסאפ הבטיחה לכולם לאחרונה שהשיחות שלה מוצפנות מקצה לקצה. גם טלגרם מתחייבת שהשיחות מוצפנות ואיש לא יכול לקרוא את מה שאנחנו כותבים פרט לנמען. אלא שבעיה עמוקה יותר באופן שבו פועלות רשתות סלולר, מאפשרת להתחזות לכל מנוי סלולר ולגנוב לו את הזהות בשיחות, סמסים, וואטסאפ, טלגרם ואפליקציות אחרות.

בשבועות האחרונים חוקרי אבטחה פירסמו מידע על פירצה שמאפשרת לפגוע במערכת האיתותים של חברות הסלולר (המכונה SS7), ולהתחזות לכל מי שרוצים. הפירצה הודגמה כבר לפני שנתיים בכנס אבטחה, אולם פורסמה מחדש בתוכנית 60 דקות באפריל.

כל האקר יכול לגרום לסמסים ושיחות טלפון להגיע לטלפון שלו, במקום לטלפון שלכם (כלומר לעשות סוג של עקוב אחרי), וכך להתחזות אליכם בלי שתדעו מי הוא. כל מה שהוא צריך לדעת זה את מספר הטלפון שלכם.

ככה גונבים את החשבון

אפליקציות כמו וואטסאפ אמורות להיות מוצפנות והן אכן מוצפנות, אבל חוקר אבטחה למה זה לא רלוונטי בכלל. בסרטון הבא אפשר לראות למה. הטלפון השמאלי שייך לקורבן, האמצעי שייך לחבר של הקורבן, והימני שייך להאקר.

בהתחלה מתקיימת שיחה רגילה בוואטסאפ בין הקורבן לחבר שלו. אבל בשלב מסויים ההאקר מודיע לחברת הסלולר שהמכשיר שנמצא בידו משוייך למספר של הקורבן.

לאחר מכן, ההאקר מפעיל את אפליקצית וואטסאפ. לצרוך כך הוא צריך לקבל קוד אישור בסמס או בשיחת טלפון. מכיוון שהוא עשה עקוב אחרי למספר שלו - הוא מקבל את קוד האישור, ומפעיל את האפליקציה. הוא יכול לשלוח הודעות בשמכם בלי בעיה, ולקבל את ההודעות שמיועדות לכם.

החדשות הקצת טובות, במקרה של וואטסאפ - הוא לא יכול לראות את השיחות הקודמות עד לאותה נקודה (כי הן על המכשיר שלכם ולא בענן).

בנוסף, אתם תקבלו הודעה שנותקתם ומישהו אחר התחבר. אפשר לנסות לקבל את השליטה בחזרה במשחק חתול ועכבר. וואטסאפ גם אמורה להבחין בפעילות חריגה ולדעת שלא דילגנו פתאום במהירות האור למדינה אחרת.

חוקר האבטחה ביצע הדגמה דומה על טלגרם - שם אפשר לצותת לשיחה בזמן שהיא מתקיימת ולראות גם הודעות קודמות (מאחר שהן נשמרות בענן). גם במקרה של טלגרם - אתם מקבלים הודעה שמישהו אחר התחבר בשמכם.

מה עושים?

על פי דיווח של הגארדיאן החדשות רעות הן שאין הרבה מה לעשות חוץ מלקוות שאנחנו לא כאלה מעניינים בשביל שמישהו ינסה להתחזות אלינו, לחכות לתיקון של חברות הסלולר בעולם (מה שיארוך זמן רב), ולשים לב להודעות על כך שמישהו התחבר בשמנו לחשבונות שונים. 

למי שבכל זאת חושש, בפורבס ממליצים על האפליקציה הזאת שמיידעת אתכם אם מישהו ניסה (או הצליח) להתחזות לטלפון שלכם.