نمایش داده های کاربران به وسیله ی آسیب پذیری وصله شده WhatsApp
تاریخ انتشار: ۱۲ شهریور ۱۴۰۰ | کد خبر: ۳۳۰۰۱۳۹۵
در یکی از نسخه های پیام رسان محبوب واتساپ داده های تصویرهای ارسالی کاربران لو می رود.
به گزارش برنا؛ WhatsApp با تقریباً دو میلیارد کاربر فعال ماهانه، محبوبترین برنامه پیام رسان تلفن همراه در سراسر جهان شناخته شد. این پیامرسان این امکان را به کاربران میدهد تا پیامهای متنی و صوتی ارسال کنند، تماس صوتی و تصویری برقرار کنند و تصاویر، اسناد، مکانهای کاربر و سایر مطالب را به اشتراک بگذارند.
بیشتر بخوانید:
اخباری که در وبسایت منتشر نمیشوند!
Check Point Research (CPR) اخیراً آسیب پذیری جدید خواندن و نوشتن خارج از محدوده را در برنامه پیام رسانی محبوب نشان داد. این مسئله که وصله شده است، برای بهره برداری نیاز به مراحل پیچیده و تعامل گسترده کاربر دارد و میتواند به مهاجم اجازه دهد اطلاعات حساس را از حافظه WhatsApp بخواند. واتس اپ تأیید کرد که هیچ مدرکی مبنی بر سوء استفاده از این آسیب پذیری مشاهده نکرده است. این آسیب پذیری مربوط به عملکرد فیلتر تصویر واتساپ است و هنگامی ایجاد میشود که کاربر لینک حاوی فایل تصویری مخرب را باز میکند، سپس سعی میکند فیلتری را اعمال کند و سپس تصویر را با فیلتر اعمال شده به مهاجم ارسال میکند.
به دنبال این فرایند، Check Point Research یافتههای خود درباره این شکاف اطلاعاتی را در ۱۰ نوامبر ۲۰۲۰ به تیم WhatsApp اعلام کرد. WhatsApp مشکل امنیتی را تأیید و عنوان کرد که راه حلی برای آن ارائه کرده است. این مشکل از نسخه ۲.۲۱.۱.۱۳ در دسترس است و دو بررسی جدید در تصویر منبع و تصویر فیلتر دارد.
چگونه این آسیب پذیری امنیتی کشف شد؟
روزانه تقریبا ۵۵ میلیارد پیام از طریق WhatsApp ارسال میشود که ۴.۵ میلیارد عکس و ۱ میلیارد فیلم در روز به اشتراک گذاشته میشود. ما تحقیقات خود را بر روی نحوه پردازش و ارسال تصاویر WhatsApp متمرکز کردیم. ما با چند نوع تصویر مانند bmp، ico، gif، jpeg و png کار خود را آغاز کردیم و از آزمایشگاه fuzing AFL خود در Check Point برای ایجاد فایلهای ناقص استفاده کردیم. فازر AFL مجموعهای از فایلهای ورودی را میگیرد و تغییرات مختلفی را در فرایندی به نام جهش روی آنها اعمال میکند. این مجموعه بزرگی از پروندههای اصلاح شده را ایجاد میکند، که بعداً به عنوان ورودی در یک برنامه هدف استفاده میشود. هنگامی که برنامه آزمایش شده به دلیل این فایلهای ایجاد شده خراب یا متوقف میشود، ممکن است نشان دهنده کشف یک اشکال جدید و یا احتمالاً یک آسیب پذیری امنیتی باشد
در طول فرایند، متوجه شدیم که برخی از تصاویر قابل ارسال نیستند. ما به دنبال روشهای دیگری برای استفاده از آن تصاویر بودیم، و یکی از عملیاتی که ما فکر میکردیم فیلترهای تصویر بود. فیلتر تصویر فرایندی است که از طریق آن پیکسلهای تصویر اصلی برای دستیابی به برخی جلوههای بصری (مانند تار شدن، تیز شدن و غیره) تغییر میکند. این امر باعث میشود فیلترها یک گزینه بسیار امیدوار کننده برای خرابی باشند، زیرا محاسبات زیادی روی فایل تصویر در طول برنامه فیلتر رخ میدهد، که شامل خواندن محتویات تصویر، دستکاری مقادیر پیکسل و نوشتن دادهها در یک تصویر مقصد جدید است. ما دریافتیم که تعویض بین فیلترهای مختلف بر روی فایلهای GIF ایجاد شده در واقع باعث خرابی واتس اپ میشود.
پس از انجام مهندسی معکوس برای بررسی تصادفاتی که از فازر گرفتیم، تصادف جالبی پیدا کردیم که آن را به عنوان خرابی حافظه تشخیص دادیم. قبل از ادامه تحقیقات، موضوع را به WhatsApp گزارش کردیم، که نام این آسیب پذیری را به ما داد: CVE-۲۰۲۰-۱۹۱۰ Heap-based خارج از محدوده خواندن و نوشتن. آنچه در این موضوع مهم است این است که با توجه به شرایط بسیار منحصر به فرد و پیچیده، این آسیب پذیری میتواند به طور بالقوه منجر به افشای اطلاعات حساس از برنامه WhatsApp شود.
مشکل این است که تصور میشود که تصاویر مقصد و منبع دارای ابعاد یکسان و فرمت RGBA یکسان هستند به این معنی که هر پیکسل به عنوان ۴ بایت ذخیره میشود، بنابراین ضرب در ۴). با این حال، هیچ نظارتی بر روی قالب تصاویر مبدا و مقصد انجام نشده است؛ بنابراین، هنگامی که یک تصویر منبع مخرب ایجاد شده فقط ۱ بایت در پیکسل داشته باشد، عملکرد سعی میکند ۴ برابر مقدار بافر منبع اختصاص داده شده را بخواند و کپی کند، که منجر به دسترسی خارج از محدوده حافظه میشود. این تصادفی است که ما در IDA گرفتیم.
WhatsApp قبلاً این اشکال را در گزارش مشاوره امنیتی فوریه ۲۰۲۱ فاش کرده بود. WhatsApp بیانیه زیر را برای ما به اشتراک گذاشته است تا در این گزارش قرار دهیم: "ما به طور منظم با محققان امنیتی همکاری میکنیم تا روشهای متعددی را که WhatsApp از پیامهای افراد محافظت میکند، بهبود بخشیم و از کارهایی که Check Point برای بررسی گوشههای برنامه ما انجام میدهد قدردانی میکنیم. مردم نباید شکی داشته باشند که رمزگذاری سرتاسری به کار خود ادامه میدهد و پیامهای افراد ایمن و حفاظت شده باقی میماند. با این وجود، حتی پیچیدهترین سناریوهایی که محققان شناسایی میکنند میتواند به افزایش امنیت کاربران کمک کند. مانند هر محصول فناوری، ما به کاربران توصیه میکنیم برنامهها و سیستم عاملهای خود را به روز نگه دارند، در صورت موجود بودن به روزرسانیها را بارگیری کنند، پیامهای مشکوک را گزارش دهند و در صورت بروز مشکل در استفاده از WhatsApp با ما تماس بگیرند. "
انتهای پیام/
منبع: خبرگزاری برنا
کلیدواژه: تلفن همراه جهان تصادف تلفن همراه وات ساپ آسیب پذیری
درخواست حذف خبر:
«خبربان» یک خبرخوان هوشمند و خودکار است و این خبر را بهطور اتوماتیک از وبسایت www.borna.news دریافت کردهاست، لذا منبع این خبر، وبسایت «خبرگزاری برنا» بوده و سایت «خبربان» مسئولیتی در قبال محتوای آن ندارد. چنانچه درخواست حذف این خبر را دارید، کد ۳۳۰۰۱۳۹۵ را به همراه موضوع به شماره ۱۰۰۰۱۵۷۰ پیامک فرمایید. لطفاً در صورتیکه در مورد این خبر، نظر یا سئوالی دارید، با منبع خبر (اینجا) ارتباط برقرار نمایید.
با استناد به ماده ۷۴ قانون تجارت الکترونیک مصوب ۱۳۸۲/۱۰/۱۷ مجلس شورای اسلامی و با عنایت به اینکه سایت «خبربان» مصداق بستر مبادلات الکترونیکی متنی، صوتی و تصویر است، مسئولیت نقض حقوق تصریح شده مولفان در قانون فوق از قبیل تکثیر، اجرا و توزیع و یا هر گونه محتوی خلاف قوانین کشور ایران بر عهده منبع خبر و کاربران است.
خبر بعدی:
حمایت ۲۷.۵ میلیاردی ستاد اتصالپذیری از ۲۵ طرح فناورانه
ستاد توسعه فناوریهای اتصال پذیری و ارتباطات در بحث تبصره ۱۸، از ۱۱ طرح به مبلغ ۲۷.۵ میلیارد تومان و خارج از تبصره ۱۸، از ۱۴ طرح به مبلغ ۱۰ میلیارد تومان حمایت کرده است. - اخبار اجتماعی -
به گزارش گروه اجتماعی خبرگزاری تسنیم، دبیر ستاد توسعه فناوریهای اتصال پذیری و ارتباطات در خصوص اقدامات این ستاد در سالی که گذشت، اظهار کرد: این ستاد در بحث تبصره 18، از 11 طرح به مبلغ 27.5میلیارد تومان و خارج از تبصره 18، از 14 طرح به مبلغ 10 میلیارد تومان حمایت کرده است.
سید محمد کرباسی؛ دبیر ستاد توسعه فناوریهای اتصال پذیری و ارتباطات درباره مأموریتهای ستاد توسعه فناوریهای اتصالپذیری اظهار کرد: رصد فناوری و شناسایی زیستبوم، فرهنگسازی و ترویج سواد فناوری، حمایت از نخبگان پژوهشگر و سرآمدان فناور، توسعه فناوریهای اولویتدار و نوظهور و تجاریسازی و بازاریابی از جمله ماموریتهایی است که این ستاد در دستور کار خود دارد.
وی همچنین، توسعه منابع انسانی، توسعه فرهنگ بومیسازی شبکه ملی اطلاعات، توسعه اتصالپذیری با اولویت هوشمندسازی صنایع و تقویت زیرساخت امنیت سایبری شبکه و صنعتی را از اهداف راهبردی این ستاد برشمرد.
به گفته وی، دانشگاهیان و پژوهشگران، هستههای فناور و شرکتهای نوپا، صنایع، سازمانها و نهادهای دولتی، عموم افراد جامعه از مخاطبان این ستاد محسوب میشوند.
مأموریتهای ستاد اتصالپذیری معاونت علمی؛ از بومیسازی شبکه ملی اطلاعات تا مخابرات کوانتومیکرباسی در ادامه در تبیین فعالیتهای ستاد گفت: ستاد توسعه فناوری های اتصال پذیری و ارتباطات در سال گذشته اقدام به انتشار هفت فراخوان کرد که از آن جمله می توان به فراخوان حمایت از پایاننامههای دانشجویی (یکی با پژوهشگاه ارتباطات و یکی هم با همراه اول)، فراخوان پروژههای تحقیقاتی- طرحهای پژوهشی و پسادکتری (بنیاد علم)، فراخوان حمایت از طرحهای فناورانه (نوآفرین)، فراخوان حمایت از طرحهای فناورانه در حوزه تجهیزات رادیویی (ترنج)، فراخوان مشترک با شرکت ایرانسل، فراخوان حمایت از طرحهای فناورانه و ... کرده است.
دبیر ستاد توسعه فناوری های اتصال پذیری و ارتباطات همچنین به پروژههای پرچمدار این ستاد در سال گذشته هم اشاره کرد و گفت: این پروژه های پرچم دار بر محصولات مورد نیاز گلوگاهی کشور تمرکز دارند و هدف از طرح این پروژه ها را حل مشکلات کشور در بحث فناوری دانست.
وی در این راستا، پروژه اینترنت کوانتومی، فناوری دسترسی رادیویی باز(Open RAN) و Fablab IOT و FSO را از جمله این پروژه های پرچم دار برشمرد.
کرباسی در خصوص حمایت های ستاد هم گفت: ستاد در بحث تبصره 18، 72 طرح دریافت و 11 طرح را به مبلغ 27/5 میلیارد تومان مورد حمایت قرار داده و خارج از تبصره 18، 18 طرح دریافت و 14 طرح به مبلغ 10 میلیارد تومان مورد حمایت قرار گرفته اند.
به گفته او، در حوزه تجاریسازی و بازاریابی هم ستاد برنامه هایی را در دستور کار خود داشته است.
وی شرکت در گردهمایی شرکتهای فناوری اطلاعات و نرم افزارهای رایانهای در مشهد، شرکت در رویداد ملی نکست و امضا 13 تفاهم نامه و توافق نامه را از جمله اقدامات صورت گرفته در این راستا عنوان کرد. همچنین، همکاری در تجهیز دو آزمایشگاه تخصصی در حوزه 5G و IOT با همراه اول و شرکت ایرانسل از دیگر اقدامات این ستاد در سال 1402 است.
کرباسی خاطرنشان کرد: حدود 33 میلیارد تومان از محل بودجه ستاد به تفکیک 11 درصد به فرهنگ سازی و ترویج سواد فناوری، 21 درصد حمایت از نخبگان و 68 درصد توسعه فناوری و همچنین 49 میلیارد تومان هم از نهادهای دیگر در قالب اعتبار مالیاتی و تفاهمنامهها جذب شد که به تفکیک1 درصد به فرهنگ سازی و ترویج سواد فناوری، 37 درصد به حمایت از نخبگان و 62 درصد به توسعه فناوری اختصاص پیدا کرده است.
وی در ادامه از تشکیل کارگروههایی همچون اینترنت اشیا و هوشمندسازی، ارتباطات نسل جدید، ماهواره و سنجش از راه دور و امنیت سایبری به عنوان یکی از اقدامات این ستاد در سالی که گذشت یاد کرد.
بازدید از شرکتهای دانشبنیان و آزمایشگاههای تخصصی در راستای رصد، شناسایی و ترویج امید در حوزه فناوریهای اتصالپذیری و ارتباطات از دیگر برنامههایی است که دبیر ستاد توسعه فناوریهای اتصالپذیری و ارتباطات به این آنها اشاره کرد و در این راستا، بازدید از آزمایشگاه تحقیقاتی و مرکز نوآوری و شرکتهای دانشبنیان مستقر در دانشگاه علم و صنعت، مجموعههای شتابدهنده و شرکتهای دانشبنیان شهر اصفهان، هلدینگ گرینوب و کارخانه نوآوری خراسان رضوی و بررسی مسائل فناورانه بخش رادیویی نسل پنجم ارتباطی در نشستی با شرکتهای دانشبنیان از دیگر اقدامات این ستاد برشمرد.
به گفته کرباسی، حضور ستاد در چهارمین رویداد هفته ایران دیجیتال، کنفرانس ظرفیت شبکه ملی اطلاعات ویژه توسعه هوشمندسازی، چهاردهمین نمایشگاه فناوری نانو 1402 و بیست و چهارمین نمایشگاه بینالمللی تلکام 1402 از دیگر فعالیت های نمایشگاهی ستاد توسعه فناوریهای اتصال پذیری و ارتباطات است.
وی ادامه داد: برگزاری سه دوره رویداد کاشتن برای آینده با عناوین «دنیای شگفتانگیز ارتباطات از ژرفای کوانتوم تا ماورای ماهوارهها»، «اتصالپذیری، ارتباطات و هوش مصنوعی» و «ایران هوشمند و متصل» و حمایتهای مالی از نهادها و دانشجویان با موضوعاتی همچون نخستین هکاتون همراه اول 5G ، دومین هکاتون همراه اول IOT، دوم هکاتون 5G ، برگزاری اولین دوره ASMMasters و مسابقه طراحی و ساخت ماهوارههای مکعبی Qsat (کیوست) و برگزاری دو دوره آموزشی «امنیت سایبری» و «آشنایی با فناوریهای نوظهور و مشاغل آینده با عنوان اتصالپذیری و ارتباطات نسل جدید» از دیگر رویدادها و مسابقات و دوره های آموزشی است که این ستاد در سال گذشته به انجام رسانده است.
انتهای پیام/