امنیت

فناوری اطلاعات

October 15, 2019
16:54 سه شنبه، 23ام مهرماه 1398
کد خبر: 104862

کشف یک نقص امنیتی در واتس‌اپ

یک محقق امنیتی، نقصی را در پیام‌رسان ‫واتس‌اپ در دستگاه‌های اندرویدی شناسایی کرد که می‌تواند به مهاجمان، امکان نفوذ و اجرای کد از راه دور (RCE) دهد.
 
به گزارش مرکز ماهر، این حفره‌ امنیتی که توسط یک محقق با نام مستعار «Awakened» کشف شد، به عنوان یک اشکال double-free توصیف و به آن شناسه‌ CVE CVE-۲۰۱۹-۱۱۹۳۲ اختصاص داده شده است.
 
این نقص، در نسخه‌ ۲.۱۹.۲۳۰ واتس‌اپ در دستگاه‌های دارای اندروید ۸.۱ و ۹.۰ اجازه‌ اجرای کد از راه دور را می‌دهد و در نسخه‌های قبلی فقط می‌تواند برای حملات انکار سرویس (DoS) استفاده شود.
 
آسیب‌پذیری شناسایی‌شده، در یک کتابخانه‌ منبع‌باز به نام «libpl_droidsonroids_gif.so» وجود دارد که توسط واتس‌اپ برای تولید پیش‌نمایش پرونده‌های GIF استفاده می‌شود.
 
بهره‌برداری از این نقص، شامل ارسال یک GIF مخرب است که می‌تواند در هنگام بازکردن گالری واتس‌اپ توسط کاربر (به‌عنوان مثال، زمانی که کاربر می‌خواهد برای یکی از مخاطبین خود تصویری ارسال کند) به‌طور خودکار باعث آسیب‌پذیری ‌شود.
 
به‌گفته‌ این محقق، مهاجم نمی‌تواند تنها با ارسال یک GIF ویژه، از این نقص بهره‌برداری کند و کنترل تلفن همراه را در دست بگیرد. مهاجم ابتدا باید از آسیب‌پذیری دیگری که در تلفن کاربر وجود دارد سوءاستفاده کند تا به چیدمان حافظه دسترسی پیدا کند. زیرا یک اشکال double-free نیاز دارد تا یک مکان از حافظه را دوبار فراخوانی کند و این کار می‌تواند منجر به خرابی یک برنامه یا ایجاد یک آسیب‌پذیری شود.
 
در این حالت، هنگامی که یک کاربر واتس‌اپ، نمایه‌ گالری را برای ارسال پرونده‌ رسانه باز می‌کند، واتس‌اپ آن‌را با استفاده از یک کتابخانه‌ منبع‌باز برای تولید پیش‌نمایش GIF که شامل چندین فریم رمزگذاری‌شده است، تجزیه می‌کند.
 
این نقص به نرم‌افزار مخرب اجازه می‌دهد تا پرونده‌های موجود در سندباکس واتس‌اپ از جمله پایگاه‌داده‌ پیام را سرقت کند.
 
Awakend، فیس بوک را از این اشکال مطلع کرد و این شرکت، همزمان وصله‌ رسمی برای برنامه را در نسخه‌ واتس‌اپ ۲.۱۹.۲۴۴ منتشر کرد.
 
مرکز ماهر به کاربران توصیه کرده که واتس‌اپ خود را به این نسخه به‌روز کنند تا از این اشکال در امان بمانند.
  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.