ثبت بازخورد

لطفا میزان رضایت خود را از دیجیاتو انتخاب کنید.

واقعا راضی‌ام
اصلا راضی نیستم
چطور میتوانیم تجربه بهتری برای شما بسازیم؟

نظر شما با موفقیت ثبت شد.

از اینکه ما را در توسعه بهتر و هدفمند‌تر دیجیاتو همراهی می‌کنید
از شما سپاسگزاریم.

واتساپ دسکتاپ
نرم افزار و اپلیکیشن

باگ واتساپ دسکتاپ تغییر پیام ها را برای هکرها ممکن می کند

فیسبوک با انتشار بیانیه رسمی از وجود رخنه امنیتی در واتساپ دسکتاپ خبر داده که امکان انجام حملات تزریق اسکریپت از طریق وبگاه و خواندن فایل های موجود روی MacOS و ویندوز از طریق یک پیام ...

Maryam Mousavi
نوشته شده توسط Maryam Mousavi | ۱۷ بهمن ۱۳۹۸ | ۱۱:۳۰

فیسبوک با انتشار بیانیه رسمی از وجود رخنه امنیتی در واتساپ دسکتاپ خبر داده که امکان انجام حملات تزریق اسکریپت از طریق وبگاه و خواندن فایل های موجود روی MacOS و ویندوز از طریق یک پیام متنی خاص را ممکن می کند. در این حملات هکر می تواند محتوای فایل ها روی کامپیوتری که در آنسوی پیام متنی واتساپ قرار دارد را بازیابی کرده و دست به اقدامات مجرمانه دیگر بزند.

این رخنه را یک محقق امنیتی به نام گال ویزمن از شرکت PerimeterX کشف کرده و نتیجه ضعف پیاده سازی واتساپ دسکتاپ با استفاده از فریم ورک نرم افزاری الکترون است که در گذشته مشکلات امنیتی عدیده ای داشته است. الکترون به توسعه دهندگان امکان می دهد اپلیکیشن های چند سکویی را تحت وب و  تکنولوژی های مرورگر بسازند اما سطح امنیت آن بسته به کامپوننت هایی است که توسعه دهنده در اپ خود به کار می برد.

ویزمن نخستین بار در سال ۲۰۱۷ میلادی آسیب پذیری تزریق اسکریپت از طریق وبگاه را کشف کرد؛ او دریافت که می تواند با دستکاری متادیتای پیام ها، بنرهای پیش نمایش باگ دار برای لینک های وب بسازد و URLهایی حاوی آسیب پذیری را درون پیام های واتساپ پنهان کند. او همزمان با بررسی این آسیب پذیری ها دریافت که میتواند کد JavaScript مورد نظرش را به پیام های رد و بدل شده در واتساپ دسکتاپ تزریق کرده و سپس با کمک Fetch API جاوا اسکریپت به فایل سیستم لوکال دسترسی پیدا کند. چنین باگی امکان دسترسی به فایل های موجود روی سیستم قربانی، دستکاری پیام ها و انتقال بدافزار به سیستم مورد نظر را ممکن می کند.

تمامی اینها به خاطر نسخه های آسیب پذیر واتساپ دسکتاپ به وجود آمده بود که با استفاده از نسخه آسیب پذیر و قدیمی موتور مرورگر کروم (یعنی کروم ۶۹)  توسعه یافته بود. خوشبختانه نسخه های جدیدتر از موتور کرومیوم قابلیت شناسایی کدهای مخرب را دارند.

براساس اعلام فیسبوک، این آسیب پذیری برای آن دسته از کاربرانی وجود دارد که واتساپ دسکتاپ 0.3.9309 یا نسخه های قبل تر آن را با واتساپ آیفون نسخه های قبل از 2.20.10 جفت کرده باشند. این شرکت همچنین نسخه های جدیدتر واتساپ دسکتاپ را که از کامپوننت های مرورگر به روز استفاده میکنند منتشر کرده.

دیدگاه‌ها و نظرات خود را بنویسید
مجموع نظرات ثبت شده (2 مورد)
  • molavy
    molavy | ۱۷ بهمن ۱۳۹۸

    بعد یک دهه چه باگ های ضایع ای
    اونوقت یک عده میگن پیام‌رسان های ایرانی به درد نمیخوره چون باگ دارن،
    چقدر خود تحقیری

  • thepjt
    thepjt | ۱۷ بهمن ۱۳۹۸

    یعنی موندم شرکتی به بزرگی فیسبوک ... با اون همه بودجه ... با این همه برنامه نویس حرفه ای .. یعنی نمیتونه یک اپلیکیشن ساده ویندوزی بنویسه !!؟؟!!؟ ... یعنی اینقدر سخته ؟؟

    وقتی به تیپ نرم افزاری مثل تلگرام نگاه میکنم که نه بودجه و نه امکانات فیسبوک رو داره .... ولی بهترین نرم افزار ها رو توسعه میده ... مشخصه که یک جای کار شرکت فیسبوک میلنگه

مطالب پیشنهادی