به نقل از «خبرگزاری برنا»

نمایش داده های کاربران به وسیله ی آسیب پذیری وصله شده WhatsApp

تاریخ انتشار: ۱۲ شهریور ۱۴۰۰ | کد خبر: ۳۳۰۰۱۳۹۵

در یکی از نسخه های پیام رسان محبوب واتساپ داده های تصویرهای ارسالی کاربران لو می رود.

به گزارش برنا؛ WhatsApp با تقریباً دو میلیارد کاربر فعال ماهانه، محبوب‌ترین برنامه پیام رسان تلفن همراه در سراسر جهان شناخته شد. این پیامرسان این امکان را به کاربران می‌دهد تا پیام‌های متنی و صوتی ارسال کنند، تماس صوتی و تصویری برقرار کنند و تصاویر، اسناد، مکان‌های کاربر و سایر مطالب را به اشتراک بگذارند.

بیشتر بخوانید: اخباری که در وبسایت منتشر نمی‌شوند!

Check Point Research (CPR) اخیراً آسیب پذیری جدید خواندن و نوشتن خارج از محدوده را در برنامه پیام رسانی محبوب نشان داد. این مسئله که وصله شده است، برای بهره برداری نیاز به مراحل پیچیده و تعامل گسترده کاربر دارد و می‌تواند به مهاجم اجازه دهد اطلاعات حساس را از حافظه WhatsApp بخواند. واتس اپ تأیید کرد که هیچ مدرکی مبنی بر سوء استفاده از این آسیب پذیری مشاهده نکرده است. این آسیب پذیری مربوط به عملکرد فیلتر تصویر واتساپ است و هنگامی ایجاد می‌شود که کاربر لینک حاوی فایل تصویری مخرب را باز می‌کند، سپس سعی می‌کند فیلتری را اعمال کند و سپس تصویر را با فیلتر اعمال شده به مهاجم ارسال می‌کند.

به دنبال این فرایند، Check Point Research یافته‌های خود درباره این شکاف اطلاعاتی را در ۱۰ نوامبر ۲۰۲۰ به تیم WhatsApp اعلام کرد. WhatsApp مشکل امنیتی را تأیید و عنوان کرد که راه حلی برای آن ارائه کرده است. این مشکل از نسخه ۲.۲۱.۱.۱۳ در دسترس است و دو بررسی جدید در تصویر منبع و تصویر فیلتر دارد.

چگونه این آسیب پذیری امنیتی کشف شد؟

روزانه تقریبا ۵۵ میلیارد پیام از طریق WhatsApp ارسال می‌شود که ۴.۵ میلیارد عکس و ۱ میلیارد فیلم در روز به اشتراک گذاشته می‌شود. ما تحقیقات خود را بر روی نحوه پردازش و ارسال تصاویر WhatsApp متمرکز کردیم. ما با چند نوع تصویر مانند bmp، ico، gif، jpeg و png کار خود را آغاز کردیم و از آزمایشگاه fuzing AFL خود در Check Point برای ایجاد فایل‌های ناقص استفاده کردیم. فازر AFL مجموعه‌ای از فایل‌های ورودی را می‌گیرد و تغییرات مختلفی را در فرایندی به نام جهش روی آن‌ها اعمال می‌کند. این مجموعه بزرگی از پرونده‌های اصلاح شده را ایجاد می‌کند، که بعداً به عنوان ورودی در یک برنامه هدف استفاده می‌شود. هنگامی که برنامه آزمایش شده به دلیل این فایل‌های ایجاد شده خراب یا متوقف می‌شود، ممکن است نشان دهنده کشف یک اشکال جدید و یا احتمالاً یک آسیب پذیری امنیتی باشد

در طول فرایند، متوجه شدیم که برخی از تصاویر قابل ارسال نیستند. ما به دنبال روش‌های دیگری برای استفاده از آن تصاویر بودیم، و یکی از عملیاتی که ما فکر می‌کردیم فیلتر‌های تصویر بود. فیلتر تصویر فرایندی است که از طریق آن پیکسل‌های تصویر اصلی برای دستیابی به برخی جلوه‌های بصری (مانند تار شدن، تیز شدن و غیره) تغییر می‌کند. این امر باعث می‌شود فیلتر‌ها یک گزینه بسیار امیدوار کننده برای خرابی باشند، زیرا محاسبات زیادی روی فایل تصویر در طول برنامه فیلتر رخ می‌دهد، که شامل خواندن محتویات تصویر، دستکاری مقادیر پیکسل و نوشتن داده‌ها در یک تصویر مقصد جدید است. ما دریافتیم که تعویض بین فیلتر‌های مختلف بر روی فایل‌های GIF ایجاد شده در واقع باعث خرابی واتس اپ می‌شود.

پس از انجام مهندسی معکوس برای بررسی تصادفاتی که از فازر گرفتیم، تصادف جالبی پیدا کردیم که آن را به عنوان خرابی حافظه تشخیص دادیم. قبل از ادامه تحقیقات، موضوع را به WhatsApp گزارش کردیم، که نام این آسیب پذیری را به ما داد: CVE-۲۰۲۰-۱۹۱۰ Heap-based خارج از محدوده خواندن و نوشتن. آنچه در این موضوع مهم است این است که با توجه به شرایط بسیار منحصر به فرد و پیچیده، این آسیب پذیری می‌تواند به طور بالقوه منجر به افشای اطلاعات حساس از برنامه WhatsApp شود.

مشکل این است که تصور می‌شود که تصاویر مقصد و منبع دارای ابعاد یکسان و فرمت RGBA یکسان هستند به این معنی که هر پیکسل به عنوان ۴ بایت ذخیره می‌شود، بنابراین ضرب در ۴). با این حال، هیچ نظارتی بر روی قالب تصاویر مبدا و مقصد انجام نشده است؛ بنابراین، هنگامی که یک تصویر منبع مخرب ایجاد شده فقط ۱ بایت در پیکسل داشته باشد، عملکرد سعی می‌کند ۴ برابر مقدار بافر منبع اختصاص داده شده را بخواند و کپی کند، که منجر به دسترسی خارج از محدوده حافظه می‌شود. این تصادفی است که ما در IDA گرفتیم.

WhatsApp قبلاً این اشکال را در گزارش مشاوره امنیتی فوریه ۲۰۲۱ فاش کرده بود. WhatsApp بیانیه زیر را برای ما به اشتراک گذاشته است تا در این گزارش قرار دهیم: "ما به طور منظم با محققان امنیتی همکاری می‌کنیم تا روش‌های متعددی را که WhatsApp از پیام‌های افراد محافظت می‌کند، بهبود بخشیم و از کار‌هایی که Check Point برای بررسی گوشه‌های برنامه ما انجام می‌دهد قدردانی می‌کنیم. مردم نباید شکی داشته باشند که رمزگذاری سرتاسری به کار خود ادامه می‌دهد و پیام‌های افراد ایمن و حفاظت شده باقی می‌ماند. با این وجود، حتی پیچیده‌ترین سناریو‌هایی که محققان شناسایی می‌کنند می‌تواند به افزایش امنیت کاربران کمک کند. مانند هر محصول فناوری، ما به کاربران توصیه می‌کنیم برنامه‌ها و سیستم عامل‌های خود را به روز نگه دارند، در صورت موجود بودن به روزرسانی‌ها را بارگیری کنند، پیام‌های مشکوک را گزارش دهند و در صورت بروز مشکل در استفاده از WhatsApp با ما تماس بگیرند. "

انتهای پیام/

منبع: خبرگزاری برنا

کلیدواژه: تلفن همراه جهان تصادف تلفن همراه وات ساپ آسیب پذیری

درخواست حذف خبر:

«خبربان» یک خبرخوان هوشمند و خودکار است و این خبر را به‌طور اتوماتیک از وبسایت www.borna.news دریافت کرده‌است، لذا منبع این خبر، وبسایت «خبرگزاری برنا» بوده و سایت «خبربان» مسئولیتی در قبال محتوای آن ندارد. چنانچه درخواست حذف این خبر را دارید، کد ۳۳۰۰۱۳۹۵ را به همراه موضوع به شماره ۱۰۰۰۱۵۷۰ پیامک فرمایید. لطفاً در صورتی‌که در مورد این خبر، نظر یا سئوالی دارید، با منبع خبر (اینجا) ارتباط برقرار نمایید.

با استناد به ماده ۷۴ قانون تجارت الکترونیک مصوب ۱۳۸۲/۱۰/۱۷ مجلس شورای اسلامی و با عنایت به اینکه سایت «خبربان» مصداق بستر مبادلات الکترونیکی متنی، صوتی و تصویر است، مسئولیت نقض حقوق تصریح شده مولفان در قانون فوق از قبیل تکثیر، اجرا و توزیع و یا هر گونه محتوی خلاف قوانین کشور ایران بر عهده منبع خبر و کاربران است.

خبر بعدی:

حمایت ۲۷.۵ میلیاردی ستاد اتصال‌پذیری از ۲۵ طرح فناورانه

ستاد توسعه فناوری‌های اتصال پذیری و ارتباطات در بحث تبصره ۱۸، از ۱۱ طرح به مبلغ ۲۷.۵ میلیارد تومان و خارج از تبصره ۱۸، از ۱۴ طرح به مبلغ ۱۰ میلیارد تومان حمایت کرده است. - اخبار اجتماعی -

به گزارش گروه اجتماعی خبرگزاری تسنیم، دبیر ستاد توسعه فناوری‌های اتصال پذیری و ارتباطات در خصوص اقدامات این ستاد در سالی که گذشت، اظهار کرد: این ستاد در بحث تبصره 18، از 11 طرح به مبلغ 27.5میلیارد تومان و خارج از تبصره 18، از 14 طرح به مبلغ 10 میلیارد تومان حمایت کرده است.

سید محمد کرباسی؛ دبیر ستاد توسعه فناوری‌های اتصال پذیری و ارتباطات درباره مأموریت‌های ستاد توسعه فناوری‌های اتصال‌پذیری اظهار کرد: رصد فناوری و شناسایی زیست‌بوم، فرهنگ‌سازی و ترویج سواد فناوری، حمایت از نخبگان پژوهشگر و سرآمدان فناور، توسعه فناوری‌های اولویت‌دار و نوظهور و تجاری‌سازی و بازاریابی از جمله ماموریت‌هایی است که این ستاد در دستور کار خود دارد.

وی همچنین، توسعه منابع انسانی، توسعه فرهنگ بومی‌سازی شبکه ملی اطلاعات، توسعه اتصال‌پذیری با اولویت هوشمندسازی صنایع و تقویت زیرساخت امنیت سایبری شبکه و صنعتی را از اهداف راهبردی این ستاد برشمرد.

به گفته وی، دانشگاهیان و پژوهشگران، هسته‌های فناور و شرکت‌های نوپا، صنایع، سازمان‌ها و نهادهای دولتی، عموم افراد جامعه از مخاطبان این ستاد محسوب می‌شوند.

مأموریت‌های ستاد اتصال‌پذیری معاونت علمی؛ از بومی‌سازی شبکه ملی اطلاعات تا مخابرات کوانتومی

کرباسی در ادامه در تبیین فعالیت‌های ستاد گفت: ستاد توسعه فناوری های اتصال پذیری و ارتباطات در سال گذشته اقدام به انتشار هفت فراخوان کرد که از آن جمله می توان به فراخوان حمایت از پایان‌نامه‌های دانشجویی (یکی با پژوهشگاه ارتباطات و یکی هم با همراه اول)، فراخوان پروژه‌های تحقیقاتی- طرح‌های پژوهشی و پسادکتری (بنیاد علم)، فراخوان حمایت از طرح‌های فناورانه (نوآفرین)، فراخوان حمایت از طرح‌های فناورانه در حوزه تجهیزات رادیویی (ترنج)، فراخوان مشترک با شرکت ایرانسل، فراخوان‌ حمایت از طرح‌های فناورانه و ... کرده است.

دبیر ستاد توسعه فناوری های اتصال پذیری و ارتباطات همچنین به پروژه‌های پرچم‌دار این ستاد در سال گذشته هم اشاره کرد و گفت: این پروژه های پرچم دار بر محصولات مورد نیاز گلوگاهی کشور تمرکز دارند و هدف از طرح این پروژه ها را حل مشکلات کشور در بحث فناوری  دانست.

وی در این راستا، پروژه اینترنت کوانتومی، فناوری دسترسی رادیویی باز(Open RAN) و  Fablab IOT و FSO را از جمله این پروژه های پرچم دار برشمرد.

کرباسی در خصوص حمایت های ستاد هم گفت: ستاد در بحث تبصره 18، 72 طرح دریافت و 11 طرح را به مبلغ 27/5 میلیارد تومان مورد حمایت قرار داده و خارج از تبصره 18، 18 طرح دریافت  و 14 طرح به مبلغ 10 میلیارد تومان مورد حمایت قرار گرفته اند.

به گفته او، در حوزه تجاری‌سازی و بازاریابی هم ستاد برنامه هایی را در دستور کار خود داشته است.

وی شرکت در گردهمایی شرکت‌های فناوری اطلاعات و نرم افزارهای رایانه‌ای در مشهد، شرکت در رویداد ملی نکست و امضا 13 تفاهم نامه و توافق نامه را از جمله اقدامات صورت گرفته در این راستا عنوان کرد. همچنین، همکاری در تجهیز دو آزمایشگاه تخصصی در حوزه 5G و IOT با همراه اول و شرکت ایرانسل از دیگر اقدامات این ستاد در سال 1402 است.

کرباسی خاطرنشان کرد: حدود 33 میلیارد تومان از محل بودجه ستاد به تفکیک 11 درصد به فرهنگ سازی و ترویج سواد فناوری، 21 درصد حمایت از نخبگان و 68 درصد توسعه فناوری و همچنین  49 میلیارد تومان هم از نهادهای دیگر در قالب اعتبار مالیاتی و تفاهم‌نامه‌ها جذب شد که به تفکیک1 درصد به فرهنگ سازی و ترویج سواد فناوری، 37 درصد به حمایت از نخبگان و 62 درصد به توسعه فناوری اختصاص پیدا کرده است.

وی در ادامه از تشکیل کارگروه‌هایی همچون اینترنت اشیا و هوشمندسازی، ارتباطات نسل جدید، ماهواره و سنجش از راه دور و  امنیت سایبری به عنوان یکی از اقدامات این ستاد در سالی که گذشت یاد کرد. 

بازدید از شرکت‌های دانش‌بنیان و آزمایشگاه‌های تخصصی در راستای رصد، شناسایی و ترویج امید در حوزه فناوری‌های اتصال‌پذیری و ارتباطات از دیگر برنامه‌هایی است که دبیر ستاد توسعه فناوری‌های اتصال‌پذیری و ارتباطات به این آنها اشاره کرد و در این راستا، بازدید از آزمایشگاه تحقیقاتی و  مرکز نوآوری و شرکت‌های دانش‎‌بنیان مستقر در دانشگاه علم و صنعت، مجموعه‌های شتاب‌دهنده و شرکت‌های دانش‌بنیان شهر اصفهان، هلدینگ گرین‌وب و کارخانه نوآوری خراسان رضوی و بررسی مسائل فناورانه بخش رادیویی نسل پنجم ارتباطی در نشستی با شرکت‌های دانش‌بنیان از دیگر اقدامات این ستاد برشمرد.

به گفته کرباسی، حضور ستاد در چهارمین رویداد هفته ایران دیجیتال، کنفرانس ظرفیت شبکه ملی اطلاعات ویژه توسعه هوشمندسازی، چهاردهمین نمایشگاه فناوری‌ نانو 1402 و  بیست و چهارمین نمایشگاه بین‌المللی تلکام 1402 از دیگر فعالیت های نمایشگاهی ستاد توسعه فناوری‌های اتصال پذیری و ارتباطات است.

وی ادامه داد: برگزاری سه دوره رویداد کاشتن برای آینده با عناوین «دنیای شگفت‌انگیز ارتباطات از ژرفای کوانتوم تا ماورای ماهواره‌ها»، «اتصال‌پذیری، ارتباطات و هوش مصنوعی» و «ایران هوشمند و متصل» و حمایت‌‌های مالی از نهادها و دانشجویان با موضوعاتی همچون نخستین هکاتون همراه اول 5G ، دومین هکاتون همراه اول IOT، دوم هکاتون 5G ، برگزاری اولین دوره ASMMasters و مسابقه طراحی و ساخت ماهواره‌های مکعبی Qsat (کیوست) و برگزاری دو دوره‌ آموزشی «امنیت سایبری» و «آشنایی‌ با فناوری‌های نوظهور‌ و مشاغل آینده با عنوان اتصال‌پذیری و ارتباطات نسل جدید»  از دیگر رویدادها و مسابقات و دوره های آموزشی است که این ستاد در سال گذشته به انجام رسانده است.

انتهای پیام/