انتشار جزئیات جدیدی از میزان آسیبپذیری واتساپ که دور زدن رمزگذاری سرتاسری را ممکن میکرد، اعلام شد. با اینکه واتساپ مدعی است رمزگذاری سرتاسری مانع دسترسی به اطلاعات حساسی از جمله محتوای چتها میشود، اما موسسه «CPR» با انتشار جزئیات آسیبپذیری اخیر این برنامه، تایید میکند این فناوری نتوانسته مانع نفوذ هکرها شود.
آسیبپذیری واتساپ
CPR آبان ماه پارسال از آسیبپذیری امنیتی در پیامرسان محبوب واتساپ خبر داد. با اینکه واتساپ این مشکل را پساز سپری شدن چند ماه و اوایل سال جاری میلادی رفع کرد، ولی حالا این تیم تحقیقاتی با تاکید بر این موضوع که هکرها موفق شدند رمزگذاری سرتاسری را از طریق این آسیبپذیری دور بزنند، جزئیات بیشتری درباره آن انتشار داده است.
واتساپ آسیبپذیری را تایید کرد
در اینحال، واتساپ هم با انتشار بیانیهای با تایید آسیبپذیری یادشده که اجازه مشاهده همه چتها را برای هکرها فراهم میکند، از CPR برای تهیه گزارش و هشدار نسبت به این باگ امنیتی قدردانی کرد.
با اینحال، شرکت یادشده در پایان مدعی شده است که رمزگذاری سرتاسری این برنامه امنیت لازم را دارد، با اینکه محققان CPR نظر دیگری دارند.
هرچند دسترسی به اطلاعات حساس کاربران مانند محتوای همه چتها از راه این آسیبپذیری فرآیندی چند مرحلهای میباشد و پیچیده به نظر میرسد، ولی بهآسانی قابل اجرا است و محققان CPR هم در مراحل بررسی این آسیبپذیری، بدون مشکل خاصی توانستند به چنین اطلاعاتی دست یابند.
شیوه دسترسی هکرها به اطلاعات
در این مرحله برای آنکه هکر بتواند به اطلاعات چتهای کاربر دسترسی پیدا کند، در مرحله نخست لازم است از طریق قابلیت پیوست تصویر، تصویری را برای کاربر مورد نظر خود که تصمیم به هک کردن اطلاعات او را دارد، ارسال کند.
بهطور معمول هکرها از تصویری مخدوش یا تار برای این کار بهره میگیرند. وبسایت CPR نمونهای از این عکس را به اشتراک گذاشته است.
در مرحله دوم کاربر ناگزیر میشود عکسی که با فیلترهای واتساپ دستکاری شده را برای فرستنده اول که همان هکر است اما او از هویت هکر بودن فرستنده آگاه نیست، دوباره بفرستد.
با ارسال عکس، فرستنده یعنی همان هکر قادر خواهد بود از آسیبپذیری آن بهره ببرد و به اطلاعات حساس کاربر شامل محتوای چتها دسترسی داشته باشد.
این موضوع با اینکه بهطور ظاهری میتواند پیچیده باشد، ولی انجام آن میتواند ساده باشد و هکر قادر خواهد بود بهآسانی کار را جلو ببرد.
تیم تحقیقاتی CPR فیلترهای متعددی را روی فایل تصویر ارسال شده تست کردهاند. آنچه روشن است، رمزگذاری سرتاسری در این شیوه قابل دور زدن میباشد و اطلاعات حساس کاربر در دسترس هکرها قرار میگیرد.
هشدار CPR به واتساپ
موسسه تحقیقاتی CPR در ۱۰ نوامبر ۲۰۲۰ درباره این آسیبپذیری به واتساپ هشدار داد و این باگ امنیتی اوایل امسال این مشکل را رفع کرد. اکنون نسخه ۲.۲۱.۱.۱۳ واتساپ چنین باگ امنیتی ندارد و مشکل رفع شده است.
فعال شدن رمزگذاری سرتاسری
فیسبوک چندی پیش امکان رمزگذاری سرتاسری (E2EE) را برای تماسهای صوتی و تصویری پیامرسان مسنجر فعال کرد و در این راستا آزمایش محدود فناوری مشابه برای دایرکتهای اینستاگرام آغاز شد.
قابلیت رمزگذاری سرتاسری (E2EE) که سد راه دسترسی دیگران به پیامهای کاربران میشوند، از سال ۲۰۱۶ برای گفتوگوهای متنی در اختیار کاربران فیسبوک مسنجر قرار دارد، اما اکنون چنین فناوری به تماسهای صوتی و تصویری این پیامرسان افزوده شده است.
به گفته فیسبوک، با چنین قابلیت و امکانی دیگر هیچ شخصثالثی از جمله خود این شرکت قادر نخواهد بود تماسها را مشاهده کند یا بشنود.
مقابله با سرقت اطلاعات
قابلیت رمزگذاری سرتاسری فیسبوک در حالی اعلام شد که براساس گزارشهای منتشر شده در هفتههای گذشته، محققان امنیتی، 9 اپلیکیشن که اطلاعات فیسبوک کاربران را سرقت میکردند، را شناسایی کردند.
Arstechnica، بهتازگی گزارش داد که محققان 9 اپلیکیشن اندروید را شناسایی کردند که از شیوه زیرکانه برای بهدست آوردن اطلاعات ورود کاربران فیسبوک استفاده میکردند، یکی از اپهای یادشده تاکنون بیشاز 5/8 میلیون بار از گوگلپلی، دانلود شده است.
شرکت امنیتی Dr.Web با انتشار پستی، آورده است: این اپها برای جلب اعتماد کاربران و پایین آوردن گارد آنها، خدمات کاملی برای ویرایش عکس، تمرینات ورزشی، فال و حذف فایلهای ناخواسته از دستگاههای اندرویدی عرضه میکردند.
تمام اپلیکیشنهای شناسایی شده به کاربران این اجازه را میدهد که با ورود به حساب فیسبوک، تبلیغات درونبرنامهای را غیرفعال کنند.
افرادیکه این گزینه را انتخاب کردهاند، فرم ورود به سیستم واقعی فیسبوک را رویت کردند که مشتملبر بخشهایی برای وارد کردن نام کاربری و رمز عبور است.
علی حبیبی
شما هم میتوانید در مورد این کالا نظر بدهید
برای ثبت نظرات، نقد و بررسی شما لازم است ابتدا وارد حساب کاربری خود شوید.
افزودن نظر جدید