به گزارش باشگاه خبرنگاران، یک پژوهشگر امنیت سایبری آسیب پذیری های امنیتی متعددی را در واتس اپ کشف نموده است و نشان می دهد که یکی از پرکاربردترین برنامه های پیام رسانی به همان میزان که پیشتر تصور می شد ایمن نیست.
گال ویزمن( Gal Weizman) از تخصص خویش در JavaScript برای یافتن آسیب پذیری های گوناگون در برنامه پیغام رسان محبوب استفاده کرد که میتواند کاربران را در معرض خطر حملات مختلف قرار داده و اجازه دهد محتوای متنی قابل دستکاری باشند. ولی این تنها مشکل نیست، برای اینکه حتی لینک های فرستاده شده هم قابل تغییر هستند و می توانند به آسانی کاربران را به سایت های مخرب برای مقاصد شوم جابجا کنند.
از آسیب پذیری های موجود در برنامه دسکتاپ واتس اپ میتوان برای کمک به کمپین های فیشینگ، توسعه بدافزار ها و حتی باج افزار ها استفاده کرد. با این روش میلیون ها کاربر در معرض خطر قرار دارند، چون این سرویس پیغام رسانی فعلا بیش از ۱.۵ میلیارد کاربر فعال ماهانه دارد.
پیغام هایی که به آسانی تغییر می کنند
ویزمن با پیدا کردن شکافی در خط مشی امنیت محتوا( CSP) که به وسیله واتس اپ استفاده می شود، توانست برنامه های جانبی و همینطور اسکریپتینگ سایت( XSS) را در برنامه دسکتاپ سرویس پیام فعال کند. این امر به او اجازه داد بتواند مجوز های خواندن از سیستم فایل محلی را در هر دو برنامه دسکتاپ مک و ویندوز بدست آورد.
با بهره برداری از این نقص ها، هکر ها می توانند کاربران را با کد مضر یا پیوند های تزریق شده در پیغام های خود هدف قرار دهند. برای بدتر شدن امور، این اعلان های پیام به طور کامل برای چشم غیرقابل مشاهده طراحی می شوند. این مدل حملات صرفا با تغییر کد JavaScript یک پیام واحد پیش از ارسال به گیرنده آن مقدور است.
روش هک با نفوذ به واتس اپ دسکتاپ
ویزمن از روش پلتفرم دسکتاپ واتساپ قادر به یافتن کدی بود که پیام ها در آن شکل می گیرد. بعد از دستکاری این بخش به برنامه اجازه داده می شود تا کماکان بطور رایج ارسال این پیام ها را انجام دهد. با این کار و دور زدن واتس اپ با راحتی می توان پیام مخرب را مثل یک پیام عادی ارسال کرد. ویزمن حتی کشف کرد که پیش نمایش وب سایت، که موقع اشتراک گذاری کاربران در پیوند های وب نمایش داده می شود، همچنین می تواند پیش از نمایش آنها دستکاری شود.
رفع این مشکل به وسیله واتس اپ
سخنگوی واتس اپ در تازه ترین بیانیه خویش اعلام نموده که این مشکل برطرف شده است. در بیانیه او آمده است:
" ما بطور منظم با پژوهشگران برجسته امنیتی مشارکت می کنیم تا از تهدیدات احتمالی کاربران خود جلوتر بمانیم. به تازکی ما مسئله ای را رفع کردیم که در تئوری می توانست کاربران آیفون را که در زمان استفاده از واتس اپ بر روی دسکتاپ خویش، روی پیوند مخرب کلیک کرده اند ، تحت تأثیر قرار دهد. این ایراد بلافاصله برطرف و از اواسط ماه دسامبر اعمال شد."
- 12
- 4
