بررسیهای انجام شده از سوی کارشناسان امنیتی نشان میدهد که هکرها از طریق این آسیبپذیری قادر هستند کنترل کامل یک حساب کاربری را به دست بگیرند. در نتیجه مکالمات، گروهها، تصاویر، ویدیوها و مخاطبان قربانی به راحتی در اختیار هکرها قرار خواهد گرفت. بدتر آنکه هکرها نه تنها قادر هستند این اطلاعات را به سرقت ببرند بلکه این توانایی را دارند تا با مخاطبان قربانی به راحتی ارتباط برقرار کنند.
مطلب پیشنهادی
شیوه عملکرد دو برنامه پیامرسان فوق به این شکل است که به مشترکان خود این توانایی را میدهند تا فایلهای مختلف همچون اسناد، تصاویر، فایلهای صوتی یا ویدویی را برای مخاطبان خود ارسال کنند. در حالی که این طراحان این برنامهها سعی کردهاند مانع از ارسال یکسری از فرمتهای فایلی خاص شوند اما کارشناسان امنیتی موفق به شناسایی راهکارهایی شدهاند که اجازه میدهد این محدودیتها برداشته شده و فایلهای مخرب HTML با تغییر نوع MIME همانند فایلهای عادی ارسال شوند. این گروه از کارشناسان امنیتی در بررسی خود موفق شدند فایل مخربی را در قالب یک تصویر جعلی و یک فایل ویدویی ارسال کنند. زمانی که قربانی تصویر یا فایل ویدویی را در مرورگر خود باز میکند، دادههای این برنامه که به شکل محلی در دستگاه قربانی ذخیرهسازی شدهاند به سرعت برای هکر ارسال میشوند. اطلاعاتی که به هکر اجازه میدهد کنترل حساب را به دست آورد. پژوهشگران در ارتباط با این مکانیزم حمله گفتهاند: «برای پیادهسازی چنین حملهای، هکر کد جاوااسکریپتی را طراحی میکند و هر 2 ثانیه یکبار وضعیت دادههای جدید را مورد بررسی قرار میدهد. اگر دادههای جدیدی وجود داشتند به سرعت اقدام به جمعآوری این دادهها میکند.»
اگر در برنامه واتسآپ بیش از یک نشست (session) فعال مشاهده شود، واتسآپ این موضوع را به کاربر اطلاع میدهد، در نتیجه کاربر قادر به بستن پنجره برنامه خواهد بود، اما کد مخرب طراحی شده از سوی هکرها مانع از آن میشود تا پنجره مرورگر مربوط به برنامه پیامرسان بسته شود. هکرها مادامی که قربانی همچنان در حساب خود فعال باشد قادر به کنترل حساب او هستند با این وجود اگر کاربر از حساب خود خارج شود این خروجی به معنای بسته شدن حساب نخواهد بود.
در نقطه مقابل تلگرام از ویژگی چند نشست فعال پشتیبانی میکند. در نتیجه به قربانی هشداری در ارتباط با این موضوع که یک کاربر تایید نشده در یک زمان به حساب آنها وارد شده است نشان داده نمیشود. گزارش مربوط به این آسیبپذیریها برای دو شرکت فوق ارسال شده است. واتسآپ و تلگرام به سرعت آسیبپذیری فوق را روی سرورهای خود ترمیم کردهاند. به کارگیری ارتباطات رمزنگاری شده باعث شده است امکان شناسایی و ترمیم آسیبپذیریها برای این دو شرکت با مشکل همراه باشد.
ماهنامه شبکه را از کجا تهیه کنیم؟
ماهنامه شبکه را میتوانید از کتابخانههای عمومی سراسر کشور و نیز از دکههای روزنامهفروشی تهیه نمائید.
ثبت اشتراک نسخه کاغذی ماهنامه شبکه
ثبت اشتراک نسخه آنلاین
کتاب الکترونیک +Network راهنمای شبکهها
- برای دانلود تنها کتاب کامل ترجمه فارسی +Network اینجا کلیک کنید.
کتاب الکترونیک دوره مقدماتی آموزش پایتون
- اگر قصد یادگیری برنامهنویسی را دارید ولی هیچ پیشزمینهای ندارید اینجا کلیک کنید.
نظر شما چیست؟