دسترسی کامل به حساب‌های کاربری
آسیب‌پذیری بحرانی تلگرام و واتس‌آپ ترمیم شدند
پژوهشگران امنیتی به تازگی در نسخه تحت وب دو برنامه پیام‌رسان تلگرام و واتس‌آپ آسیب‌پذیری جدیدی را شناسایی کردند که به هکرها اجازه می‌دهد حساب‌های کاربری مشترکان این برنامه‌ها را به سرقت ببرند. هکرها برای آن‌که بتوانند از این آسیب‌پذیری استفاده کنند باید یک فایل مخرب HTML را برای قربانی ارسال کنند. فایلی که در قالب یک فایل تصویری یا یک فایل ویدویی به کاربر نشان داده خواهد شد.

بررسی‌های انجام شده از سوی کارشناسان امنیتی نشان می‌دهد که هکرها از طریق این آسیب‌پذیری قادر هستند کنترل کامل یک حساب کاربری را به دست بگیرند. در نتیجه مکالمات، گروه‌ها، تصاویر، ویدیوها و مخاطبان قربانی به راحتی در اختیار هکرها قرار خواهد گرفت. بدتر آن‌که هکرها نه تنها قادر هستند این اطلاعات را به سرقت ببرند بلکه این توانایی را دارند تا با مخاطبان قربانی به راحتی ارتباط برقرار کنند.

مطلب پیشنهادی

اینتل ابزاری برای شناسایی بدافزارهای مقیم عرضه کرد + لینک دانلود

شیوه عملکرد دو برنامه پیام‌رسان فوق به این شکل است که به مشترکان خود این توانایی را می‌دهند تا فایل‌های مختلف همچون اسناد، تصاویر، فایل‌های صوتی یا ویدویی را برای مخاطبان خود ارسال کنند. در حالی که این طراحان این برنامه‌ها سعی کرده‌اند مانع از ارسال یکسری از فرمت‌های فایلی خاص شوند اما کارشناسان امنیتی موفق به شناسایی راهکارهایی شده‌اند که اجازه می‌دهد این محدودیت‌ها برداشته شده و فایل‌های مخرب HTML با تغییر نوع MIME همانند فایل‌های عادی ارسال شوند. این گروه از کارشناسان امنیتی در بررسی خود موفق شدند فایل مخربی را در قالب یک تصویر جعلی و یک فایل ویدویی ارسال کنند. زمانی که قربانی تصویر یا فایل ویدویی را در مرورگر خود باز می‌کند، داده‌های این برنامه که به شکل محلی در دستگاه قربانی ذخیره‌سازی شده‌اند به سرعت برای هکر ارسال می‌شوند. اطلاعاتی که به هکر اجازه می‌دهد کنترل حساب را به دست آورد. پژوهشگران در ارتباط با این مکانیزم حمله گفته‌اند: «برای پیاده‌سازی چنین حمله‌ای، هکر کد جاوااسکریپتی را طراحی می‌کند و هر 2 ثانیه یک‌بار وضعیت داده‌های جدید را مورد بررسی قرار می‌دهد. اگر داده‌های جدیدی وجود داشتند به سرعت اقدام به جمع‌آوری این داده‌ها می‌کند.»

مطلب پیشنهادی

راهنمای حذف بدافزارها
رهایی از مزاحمت‌های بدافزاری به مبارزه ای تمام عیار نیاز دارد

اگر در برنامه واتس‌آپ بیش از یک نشست (session) فعال مشاهده شود، واتس‌آپ این موضوع را به کاربر اطلاع می‌دهد، در نتیجه کاربر قادر به بستن پنجره برنامه خواهد بود، اما کد مخرب طراحی شده از سوی هکرها مانع از آن می‌شود تا پنجره مرورگر مربوط به برنامه پیام‌رسان بسته شود. هکرها مادامی که قربانی همچنان در حساب خود فعال باشد قادر به کنترل حساب او هستند با این وجود اگر کاربر از حساب خود خارج شود این خروجی به معنای بسته شدن حساب نخواهد بود.

در نقطه مقابل تلگرام از ویژگی چند نشست فعال پشتیبانی می‌کند. در نتیجه به قربانی هشداری در ارتباط با این موضوع که یک کاربر تایید نشده در یک زمان به حساب آن‌ها وارد شده است نشان داده نمی‌شود. گزارش مربوط به این آسیب‌پذیری‌ها برای دو شرکت فوق ارسال شده است. واتس‌آپ و تلگرام به سرعت آسیب‌پذیری‌ فوق را روی سرورهای خود ترمیم کرده‌اند. به کارگیری ارتباطات رمزنگاری شده باعث شده است امکان شناسایی و ترمیم آسیب‌پذیری‌ها برای این دو شرکت با مشکل همراه باشد.

 

ماهنامه شبکه را از کجا تهیه کنیم؟
ماهنامه شبکه را می‌توانید از کتابخانه‌های عمومی سراسر کشور و نیز از دکه‌های روزنامه‌فروشی تهیه نمائید.

ثبت اشتراک نسخه کاغذی ماهنامه شبکه     
ثبت اشتراک نسخه آنلاین

 

کتاب الکترونیک +Network راهنمای شبکه‌ها

  • برای دانلود تنها کتاب کامل ترجمه فارسی +Network  اینجا  کلیک کنید.

کتاب الکترونیک دوره مقدماتی آموزش پایتون

  • اگر قصد یادگیری برنامه‌نویسی را دارید ولی هیچ پیش‌زمینه‌ای ندارید اینجا کلیک کنید.

ایسوس

نظر شما چیست؟