آسیب‌پذیری‌های جدید در پیام‌رسان واتس‌اپ، امکان دسترسی به فایل‌های شما بر روی کامپیوتر را برای نفوذگران فراهم می‌کند

یک محقق امنیتی به تازگی جزئیات چند آسیب‌پذیری مهم در پیام‌رسان واتس‌اپ را منتشر کرده که بهره‌برداری از این آسیب‌پذیری‌ها به یک مهاجم راه دور امکان می‌دهد تا سیستم میلیاردها کاربر را در سطح جهان تحت تاثیر قرار دهد. وقتی این آسیب‌پذیری‌ها با یکدیگر ترکیب شوند، نفوذگر از راه دور می‌تواند بر روی سیستم‌های ویندوز و مک با ارسال پیام‌های جعلی، فایل‌های قربانیان را به سرقت ببرد.

یکی از این آسیب‌پذیری‌ها دارای شناسه‌ی CVE-2019-18426 بوده و در بخش واتس‌اپ وب وجود دارد. این نسخه از پیام‌رسان واتس‌اپ بسیار محبوب بوده و از برنامه‌های چندبستری Electron برای توسعه‌ی نسخه‌ی تحت سیستم عامل آن استفاده شده است. به گفته‌ی محققان امنیتی، نسخه‌ی وب واتس‌اپ دارای یک آسیب‌پذیری open-redirect است که منجر به حمله‌ی XSS دائمی می‌شود. مهاجم با ارسال پیام‌های جعلی به سمت برنامه‌ی واتس‌اپ کاربر قربانی می‌تواند از این آسیب‌پذیری بهره‌برداری کند.

زمانی‌که که قربانی از همه‌جا بی‌خبر، پیام جعلی ارسال‌شده را در مرورگر خود مشاهده کند، اجازه‌ی اجرای کدهای دلخواه در مفاد دامنه‌ی وب واتس‌اپ به مهاجم داده می‌شود. اگر پیام مخرب در برنامه‌ی دسکتاپ آسیب‌پذیر دیده شود، کد مخرب در داخل سیستم گیرنده و در مفاد برنامه‌ی کاربردی آسیب‌پذیر اجرا خواهد شد.

همچنین پیکربندی نادرست در سیاست‌های وب واتس‌اپ به محققان اجازه داده تا بار داده‌ی XSS را با هر طول مشخصی با استفاده از iframe و از یک وب‌سایت مخرب بارگذاری کنند. محققان اعلام کردند اگر قوانین CSP به درستی پیکربندی شده بودند، توانایی‌هایی که مهاجم با اجرای XSS به دست می‌آورد، کمتر بود. با دور زدن پیکربندی‌های CSP مهاجم می‌تواند اطلاعات را از سیستم آسیب‌پذیر به سرقت برده و بار داده‌ی مخرب بیشتری را بارگذاری کند.

علاوه براین، آسیب‌پذیری open-redirect می‌تواند برای دست‌کاری بنرهای URL مورد بهره‌برداری قرار بگیرد. زمانی‌که پیغام مخرب ارسال می‌شود، می‌تواند یک پیش‌نمایش از یک وب‌سایت به کاربر نمایش داده شود و کاربر با ترغیب به کلیک بر روی لینک موردنظر، به سمت یک وب‌سایت فیشینگ هدایت شود. این آسیب‌پذیری‌ها سال گذشته به فیس‌بوک گزارش شده و این شرکت آسیب‌پذیری‌ها را وصله کرده است. همچنین به محققان در قالب برنامه‌ی پاداش در ازای اشکال فیس‌بوک، برای گزارش این آسیب‌پذیری‌ها ۱۲۵۰۰ دلار جایزه پرداخت شده است.

منبع

Related posts

Leave a Comment

11 + پانزده =