امروزه اکثر دارندگان گوشیهای هوشمند از اپلیکیشنهای پیامرسانی مثل تلگرام یا وایبر استفاده میکنند. این قبیل از اپلیکیشنها هنگام نصب از کاربران خود میخواهند تا شماره تلفن همراهشان را وارد کنند؛ سپس پیامکی برای کاربر ارسال میشود. این پیامک حاوی یک رمز عددی است. اپلیکیشن از کاربر میخواهد که رمز ارسالشده را هنگام نصب وارد کند. اپلیکیشن از این طریق از صحت شماره تلفن واردشده اطمینان حاصل میکند. تا زمانی که کاربران از سیمکارتهای فیزیکی (مشابه نمونههای رایج در ایران) استفاده کنند، مشکلی جدی پیش نمیآید.
فرض کنید شخصی با شمارهی اشتراکی خود، اپلیکیشن پیامرسانی را ثبت کرده باشد و اشتراک خط خریداریشده پس از مدتی برای فرد اول منقضی و مجددا توسط فرد دیگری خریداری شود. حال کافی است فرد دوم نیز همان اپلیکیشن را با شمارهی خریداریشدهی خود ثبت کند؛ در اینصورت به لیست مخاطبان و تمام پیامهای موجود در اپلیکیشن شخص اول دسترسی خواهد داشت.
این آسیبپذیری امنیتی که میتوان آن را بهنوعی نقص کنترل دسترسی حساب قلمداد کرد بسیار جدی است. شکل زیر تصویری مربوط به اپلیکیشن تلگرام را نشان میدهد که توسط چندین کاربر با یک شماره تلفن آنلاین ثبت شده است و پیامهای تمامی کاربران قبلی قابلدسترس هستند.
طبق بررسیهای صورت گرفته، اکثر اپلیکیشنهای پیامرسانی که از تایید پیامکی جهت احراز هویت کاربران خود استفاده میکنند دارای این نقص امنیتی هستند. شکل زیر هم نتیجهی بررسیهای انجامشده روی معروفترین اپلیکیشنهای پیامرسانی را نشان میدهد. این تصویر بیان میکند که در طول یک روز چند اپلیکیشن با یک شماره تلفن آنلاین رایگان فعال شدهاند.
اگرچه برخی از اپلیکیشنهای پیامرسانی مانند تلگرام و لاین، در صورت اضافه شدن وسیلهی هوشمند دیگر، هشدارهایی را به سایر اپلیکیشنهای فعال در دیگر دستگاهها ارسال میکنند، ولی در این مدتزمان محدود، هکرها اجازه دارند تا مجوزهای سایر اپلیکیشنهای فعال بر روی دستگاههای دیگر را غیرفعال کنند. شاید بهتر است توسعهدهندگان اپلیکیشنهای پیامرسانی از احراز هویت مبتنی بر تماس بهجای ارسال پیامک بهره بگیرند.