우리 모두 알고 있듯이 WhatsApp과 Telegram 메신저는 모두 인터넷을 사용하여 문자 메시지, 이미지, 문서 등을 보내는 스마트폰용 크로스 플랫폼 인스턴트 메시징 클라이언트입니다.
따라서 두 메시징 서비스 모두 채팅에 엔드투엔드 암호화를 제공한다고 주장합니다. 그러나 최근 Positive Technologies의 보안 전문가들은 채팅이나 메시지를 포착하고 마치 WhatsApp이나 Telegram과 같은 서비스의 의도된 수신자인 것처럼 응답할 수 있다는 사실을 발견했습니다.
이제 해커는 피해자를 모방하고 WhatsApp 채팅에 응답할 수 있습니다.
Positive Technologies의 EMEA 기술 관리자인 Alex Mathews는 “WhatsApp, Telegram 등과 같은 채팅 애플리케이션은 사용자/번호의 신원을 확인하기 위해 SS7 신호를 사용하는 문자 메시지 기반 SMS 확인을 사용합니다”라고 말했습니다.
또한 Positive Technologies의 EMEA 기술 관리자인 Alex Mathews는 “SMS 인증은 WhatsApp, Viber, Telegram, Facebook과 같은 서비스의 주요 보안 메커니즘 중 하나이며 Google 계정 등에 대한 2단계 인증의 일부이기도 합니다. .
장치와 애플리케이션은 신원을 확인하기 위해 SS7 네트워크를 통해 SMS 메시지를 보내며, 공격자는 이를 쉽게 가로채 합법적인 사용자의 신원을 가장할 수 있습니다. 따라서 채팅 기록이 서버에 저장되어 있으면 이 정보도 검색할 수 있다고 Positive Technologies는 말합니다.
가장 우려스러운 부분은 잠재적인 해커가 이러한 해킹을 수행하기 위해 Linux 기반 컴퓨터와 공개적으로 사용 가능한 SDK를 사용할 수 있기 때문에 이러한 해킹을 위한 고급 장비조차 필요하지 않다는 것입니다.
따라서 보안 회사인 Positive Technologies의 전문가들은 해커가 널리 사용되는 Linux 기반 컴퓨터와 공개적으로 사용 가능한 SDK를 사용하여 이러한 해킹을 수행할 수 있는 방법을 시연했습니다. 이전에 독일 연구원인 Tobias Engel도 과거에 SS7 허점을 사용하여 휴대 전화의 위치를 결정할 수 있는 방법을 보여주었습니다.
보안업체 포지티브테크놀로지도 이러한 공격에 상위 10개 통신사들이 취약하며, 숙련된 해커라면 동일한 방법으로 추가 공격을 가할 수 있을 것이라고 밝혔다.
따라서 Positive Technologies의 EMEA 기술 관리자인 Alex Mathews는 다음과 같이 말했습니다. “통신 사업자 및 네트워크 사업자가 핵심 통신 네트워크를 보호하면 고객의 보안이 향상될 수 있지만 이는 하루아침에 이루어지지는 않습니다. WhatsApp과 같은 서비스 제공업체는 보안을 유지하기 위해 사용자의 신원을 확인하는 추가 메커니즘 도입을 고려해야 합니다.”