شرکت فیسبوک با انتشار بیانیه رسمی از وجود رخنه امنیتی در واتساپ دسکتاپ خبر داده که امکان انجام حملات تزریق اسکریپت از طریق وبگاه و خواندن فایل های موجود روی MacOS و ویندوز از طریق یک پیام متنی خاص را ممکن می کند. در این حملات هکر می تواند محتوای فایل ها روی کامپیوتری که در آنسوی پیام متنی واتساپ قرار دارد را بازیابی کرده و دست به اقدامات مجرمانه دیگر بزند.
این رخنه را یک محقق امنیتی به نام گال ویزمن از شرکت PerimeterX کشف کرده و نتیجه ضعف پیاده سازی واتساپ دسکتاپ با استفاده از فریم ورک نرم افزاری الکترون است که در گذشته مشکلات امنیتی عدیده ای داشته است. الکترون به توسعه دهندگان امکان می دهد اپلیکیشن های چند سکویی را تحت وب و تکنولوژی های مرورگر بسازند اما سطح امنیت آن بسته به کامپوننت هایی است که توسعه دهنده در اپ خود به کار می برد.
ویزمن نخستین بار در سال ۲۰۱۷ میلادی آسیب پذیری تزریق اسکریپت از طریق وبگاه را کشف کرد؛ او دریافت که می تواند با دستکاری متادیتای پیام ها، بنرهای پیش نمایش باگ دار برای لینک های وب بسازد و URLهایی حاوی آسیب پذیری را درون پیام های واتساپ پنهان کند. او همزمان با بررسی این آسیب پذیری ها دریافت که میتواند کد JavaScript مورد نظرش را به پیام های رد و بدل شده در واتساپ دسکتاپ تزریق کرده و سپس با کمک Fetch API جاوا اسکریپت به فایل سیستم لوکال دسترسی پیدا کند. چنین باگی امکان دسترسی به فایل های موجود روی سیستم قربانی، دستکاری پیام ها و انتقال بدافزار به سیستم مورد نظر را امکان پذیر می کند.
منبع: arstechnica
- فروشگاه اینترنتی سبلان
- بهمن 17, 1398
- 247 بازدید
