به تازگی آسیبپذیری عجیبی در نسخه دسکتاپ واتساپ کشف شده که به هکرها اجازه تغییر پیامها را میدهد.
به گزارش مجله خبری نگار، یک محقق امنیت سایبری آسیب پذیریهای امنیتی متعددی را در واتس اپ کشف کرده است و نشان میدهد که یکی از پرکاربردترین برنامههای پیام رسانی به همان اندازه که قبلاً تصور میشد ایمن نیست.
گال ویزمن (Gal Weizman) از تخصص خود در JavaScript برای یافتن آسیب پذیریهای متعدد در برنامه پیامرسان محبوب استفاده کرد که میتواند کاربران را در معرض خطر حملات مختلف قرار داده و اجازه دهد محتوای متنی قابل دستکاری باشند. البته این تنها مشکل نیست، زیرا حتی لینکهای ارسال شده نیز قابل تغییر هستند و میتوانند به راحتی کاربران را به سایتهای مخرب برای مقاصد شوم منتقل کنند.
از آسیبپذیریهای موجود در برنامه دسکتاپ واتساپ میتوان برای کمک به کمپینهای فیشینگ، گسترش بدافزارها و حتی باجافزارها استفاده کرد. با این روش میلیونها کاربر در معرض خطر قرار دارند، زیرا این سرویس پیام رسانی در حال حاضر بیش از ۱.۵ میلیارد کاربر فعال ماهانه دارد.
ویزمن با یافتن شکافی در خط مشی امنیت محتوا (CSP) که توسط واتساپ استفاده میشود، توانست برنامههای جانبی و همچنین اسکریپتینگ سایت (XSS) را در برنامه دسکتاپ سرویس پیام فعال کند. این امر به وی اجازه داد بتواند مجوزهای خواندن از سیستم فایل محلی را در هر دو برنامه دسکتاپ مک و ویندوز به دست آورد.
با بهره برداری از این نقصها، هکرها میتوانند کاربران را با کد مضر یا پیوندهای تزریق شده در پیامهای خود هدف قرار دهند. برای بدتر شدن امور، این اعلانهای پیام کاملاً برای چشم غیرقابل مشاهده طراحی میشوند. این نوع حملات فقط با تغییر کد JavaScript یک پیام واحد قبل از ارسال به گیرنده آن امکان پذیر است.
ویزمن از طریق پلتفرم دسکتاپ واتساپ قادر به یافتن کدی بود که پیامها در آن شکل میگیرد. پس از دستکاری این بخش به برنامه اجازه داده میشود تا همچنان به طور معمول ارسال این پیامها را انجام دهد. با این کار و دور زدن واتساپ با راحتی میتوان پیام مخرب را مانند یک پیام عادی ارسال کرد. ویزمن حتی کشف کرد که پیش نمایش وب سایت، که هنگام اشتراک گذاری کاربران در پیوندهای وب نمایش داده میشود، همچنین میتواند قبل از نمایش آنها دستکاری شود.
سخنگوی واتساپ در جدیدترین بیانیه خود اعلام کرده که این مشکل رفع شده است. در بیانیه وی آمده است:
"ما به طور منظم با محققان برجسته امنیتی همکاری میکنیم تا از تهدیدات احتمالی کاربران خود جلوتر بمانیم. به تازکی ما مسئلهای را برطرف کردیم که در تئوری میتوانست کاربران آیفون را که در حین استفاده از واتساپ بر روی دسکتاپ خود، روی پیوند مخرب کلیک کرده اند، تحت تأثیر قرار دهد. این اشکال بلافاصله رفع و از اواسط ماه دسامبر اعمال شد."
منبع: باشگاه خبرنگاران جوان