هکرها می توانند قابلیت «یک بار مشاهده» واتس اپ را دور بزنند - آپا
هکرها می توانند قابلیت «یک بار مشاهده» واتس اپ را دور بزنند
- 25 Sep 2024
- کد خبر: 2651638
- 1277
به گفته محققان، یک نقص امنیتی جدی، حریم خصوصی کاربران واتس اپ را تهدید میکند. این آسیبپذیری معمولاً بر قابلیت «یک بار مشاهده» در واتساپ تأثیر میگذارد و این امکان را به مهاجم میدهد تا بدون اطلاع کاربر دیگر، دائماً به رسانه هدف دسترسی پیدا کند.
محققان امنیتی از Zengo یک نقص امنیتی جدی در واتساپ را کشف کردند که این امکان را به مهاجم می داد تا قابلیت حریم خصوصی «یک بار مشاهده» برنامه را دور بزند.
به گفته Meta، «View Once» یک ویژگی اشتراکگذاری رسانهای مبتنی بر حریم خصوصی در واتساپ است که به گیرنده اجازه میدهد تنها یک بار رسانه اشتراکگذاری شده را مشاهده کرده و به آن دسترسی داشته باشد. چنین رسانههایی (پیامهای صوتی، ویدیوها و عکسها) بهمحض اینکه گیرنده آنها را باز میکند، بهطور خودکار از چت ناپدید میشوند و مطمئن میشوند که هیچ اثری در پشت آن وجود ندارد. گیرندگان نه می توانند چنین رسانه ای را در دستگاه خود بارگیری کنند و نه می توانند از صفحه نمایش عکس بگیرند. به طور خاص، این نقص به دلیل نحوه برخورد سرورهای WhatsApp با رسانه "View Once" وجود داشت. محققان متوجه شدند که سرورهای واتساپ به سادگی پیام را بهعنوان «یک بار مشاهده» علامتگذاری میکنند و آن را در همه دستگاهها، از جمله آنهایی که برای پیامهای «یک بار مشاهده» پشتیبانی نمیشوند، به اشتراک میگذارند. از این رو، یک مهاجم میتوانست «viewOnce: true» را با تغییر آن به «false» دور بزند. پس از انجام این کار، مهاجم می توانست به راحتی پیام را در هر دستگاهی مشاهده و دانلود کند، درست مانند یک پیام معمولی WhatsApp، بدون احراز هویت بیشتر.
یکی دیگر از خطاهای پیاده سازی این ویژگی، حفظ پیام های «یک بار مشاهده» به مدت 2 هفته در سرورهای واتس اپ است. محققان می توانند به راحتی از دو طریق از این ویژگی حریم خصوصی عبور کنند. ابتدا، آنها یک کلاینت غیررسمی واتساپ را بر اساس کلاینت واتساپ Web API "Baileys" ساختند و آن را به یک حساب کاربری واتساپ موجود لینک کردند تا پیامهای «یک بار مشاهده» را دانلود و ذخیره کنند. دوم، آنها میتوانند پیام رمزگذاریشده را با هر کلاینتی بارگیری نمایند و بعداً آن را از طریق OpenSSL رمزگشایی کنند.
Meta این نقص را وصله کرد
پس از این کشف، محققان با مسئولیت پذیری این نقص را به Meta فاش کردند. با این حال، محققان پس از مشاهده بهره برداری فعال از این نقص، موضوع را به صورت عمومی فاش نمودند. در حال حاضر، هیچ وصله رسمی برای رفع این آسیبپذیری «یک بار مشاهده» برای کاربران واتساپ وجود ندارد. با این وجود، طبق گفته Bleeping Computer، Meta احتمالاً در حال کار بر روی یک وصله است که در نسخههای بعدی عرضه خواهد شد.
منبع:
https://latesthackingnews.com/2024/09/16/hackers-can-bypass-whatsapp-view-once-due-to-feature-vulnerability/