اپلیکیشن

تلفن همراه

February 6, 2020
12:24 پنجشنبه، 17ام بهمنماه 1398
کد خبر: 108584

باگ واتساپ دسکتاپ تغییر پیام ها را برای هکرها ممکن می کند

فیسبوک با انتشار بیانیه رسمی از وجود رخنه امنیتی در واتساپ دسکتاپ خبر داده که امکان انجام حملات تزریق اسکریپت از طریق وبگاه و خواندن فایل های موجود روی MacOS و ویندوز از طریق یک پیام متنی خاص را ممکن می کند. در این حملات هکر می تواند محتوای فایل ها روی کامپیوتری که در آنسوی پیام متنی واتساپ قرار دارد را بازیابی کرده و دست به اقدامات مجرمانه دیگر بزند.
 
این رخنه را یک محقق امنیتی به نام گال ویزمن از شرکت PerimeterX کشف کرده و نتیجه ضعف پیاده سازی واتساپ دسکتاپ با استفاده از فریم ورک نرم افزاری الکترون است که در گذشته مشکلات امنیتی عدیده ای داشته است. الکترون به توسعه دهندگان امکان می دهد اپلیکیشن های چند سکویی را تحت وب و  تکنولوژی های مرورگر بسازند اما سطح امنیت آن بسته به کامپوننت هایی است که توسعه دهنده در اپ خود به کار می برد.
 
ویزمن نخستین بار در سال ۲۰۱۷ میلادی آسیب پذیری تزریق اسکریپت از طریق وبگاه را کشف کرد؛ او دریافت که می تواند با دستکاری متادیتای پیام ها، بنرهای پیش نمایش باگ دار برای لینک های وب بسازد و URLهایی حاوی آسیب پذیری را درون پیام های واتساپ پنهان کند. او همزمان با بررسی این آسیب پذیری ها دریافت که میتواند کد JavaScript مورد نظرش را به پیام های رد و بدل شده در واتساپ دسکتاپ تزریق کرده و سپس با کمک Fetch API جاوا اسکریپت به فایل سیستم لوکال دسترسی پیدا کند. چنین باگی امکان دسترسی به فایل های موجود روی سیستم قربانی، دستکاری پیام ها و انتقال بدافزار به سیستم مورد نظر را ممکن می کند.
 
تمامی اینها به خاطر نسخه های آسیب پذیر واتساپ دسکتاپ به وجود آمده بود که با استفاده از نسخه آسیب پذیر و قدیمی موتور مرورگر کروم (یعنی کروم ۶۹)  توسعه یافته بود. خوشبختانه نسخه های جدیدتر از موتور کرومیوم قابلیت شناسایی کدهای مخرب را دارند.
 
براساس اعلام فیسبوک، این آسیب پذیری برای آن دسته از کاربرانی وجود دارد که واتساپ دسکتاپ 0.3.9309 یا نسخه های قبل تر آن را با واتساپ آیفون نسخه های قبل از 2.20.10 جفت کرده باشند. این شرکت همچنین نسخه های جدیدتر واتساپ دسکتاپ را که از کامپوننت های مرورگر به روز استفاده میکنند منتشر کرده.
  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.