دسترسی به فایل های كاربران با مشكل واتس اپ

ببه گزارش كمیاب آنلاین صدمه پذیری جدیدی در پیام رسان واتس اپ كشف شده كه امكان دسترسی به فایل های موجود در سیستم كاربر را به مهاجمان می دهد.

به گزارش كمیاب آنلاین به نقل از ایسنا، یك محقق امنیتی جزئیات فنی از ‫آسیب پذیری های چندگانه با حساسیت بالا را در پیام رسان واتس اپ منتشر نمود كه با بهره برداری از آنها امنیت میلیون ها كاربر به خطر خواهد افتاد و یك مهاجم از راه دور می تواند با ارسال یك پیام مخرب به قربانی در برنامه واتس اپ فایل های موجود در سیستم ویندوزی یا mac كاربر را سرقت كند.
صدمه پذیری توسط محقق PerimeterX به نام Gal Weizman كشف شده و این صدمه پذیری با شناسه CVE-۲۰۱۹-۱۸۴۲۶ در نسخه وب واتس اپ واقع شده است. طبق گزارش مركز ماهر (مدیریت امداد و هماهنگی رخدادهای كامپیوتر ای)، در نسخه وب واتس اپ یك صدمه پذیری خطرناك از نوع open-redirect وجود دارد كه می تواند با ارسال یك پیام مخرب به حملات cross-site scripting ختم شود.
در نتیجه اگر پیام مخرب توسط قربانی در نسخه وب واتس اپ در مرورگر باز شود امكان اجرای كد از راه دور در context برنامه وجود دارد؛ اگر پیام در برنامه نسخه desktop باز شود هم كد مخرب در گیرنده سیستم و در context برنامه اجرا می شود. علاوه بر این به علت اشتباه در تنظیم (misconfigure) محتوای سیاست های امنیتی دامین نسخه وب واتس اپ، امكان بارگذاری payload های XSS با استفاده از iframe از یك وب سایت دیگر در اینترنت كه تحت كنترل مهاجم است، وجود دارد.
به قول این محقق اگر قوانین CSP یا (CERTIFICATED SYSTEMS PROFESSIONAL) بهتر تنظیم شده بودند، قدرت عمل XSS كاهش پیدا می كرد. با دور زدن قوانین CPS مهاجم می تواند اطلاعات باارزشی از قربانی سرقت كند و payload های XSS را به راحتی بارگذاری كند.
پیش از این هم صدمه پذیری جدیدی در واتس اپ كشف شده بود كه به هكرها اجازه می داد بعنوان یك عضو جدید در گروه های واتس اپی با ایجاد تغییر در بعضی از پارامترهای مخصوص رابط كاربری در نسخه وب واتس اپ و همینطور یك ابزار دیگر، در دسترسی سایر افراد و اعضای گروه اختلال ایجاد كنند و در نتیجه كاربران به راحتی از گروه بیرون انداخته می شدند و دسترسی آنها به كلی از گروه قطع می شد.

آخرین مطالب مرتبط