خبر بین المللی آسیب پذیری جدید واتساپ تنها با چند خط کد هک شد

۱۹ مهر ۱۳۹۶ IT

اخیرا راب هیتون، مهندس نرم افزار توانست آسیب پذیری جدیدی را در اپلیکیشن واتساپ شناسایی کند که در واسطه ی آن می توان در گپ همزمان بین دو نفر پی برد. وی این آسیب پذیری را با نوشتن یک افزونه ی کروم که تنها چهار خط کد جاوا اسکریپت داشت اکسپلویت کرد.

کد:

setInterval(function() {
  var lastSeen = $('.pane-header .chat-body .emojitext').last().text();
  console.log(Math.floor(Date.now() / 1000) + ", " + lastSeen);
}, ۱۰۰۰);


در طور واضح تر، این آسیب پذیری در افراد اجازه می دهد تا وضعیت آنلاین یا آفلاین هر مخاطبی را لاگ کنند؛ تنها در صورتی که کاربران وضعیت آنلاین خود را پنهان نکنند و مخاطبان قادر در اطلاع از وضعیتشان باشند. توسط این آسیب پذیری و با لاگ کردن وضعیت افراد، زمانی که فردی برای خواندن یک پیام آنلاین شد و پاسخی را فرستاد، و همچنین وضعیت مخاطب وی هم در آنلاین تغییر پیدا کرد، می توان نتیجه گرفت که این دو فرد در ارتباط هستند. در حقیقت، با لاگ کردن وضعیت آنلاین کاربران و ارتباط بین همزمان آنلاین شدن دو مخاطب می توان در ارتباط آن ها پی برد.

هیتون در این خصوص گفت:

نقل قول:

در صورتی که هیچ راهی را برای پی بردن در ارتباط دو نفر پیدا نکردید، با هستفاده از این آسیب پذیری و داشتن برنامه ای برای اکسپلویت آن می توان در الگوی هستفاده ی این دو کاربر از واتساپ دسترسی پیدا کرد.


راب هیتون در بلاگ خود این آسیب پذیری را با مثالی در خصوص الگوی خواب یک مخاطب تشریح کرد. یافتن الگوی وضعیت آنلاین بیش از دو کاربر در واتساپ، در نرم افزاری پیشرفته تر نیازمند هست، اما اساس برنامه با چهار خط کد جاوا اسکریپت یکسان هست. اگرچه واتساپ امکان تغییر وضعیت آنلاین را در last seen می دهد اما در واقع کاربران در وضعیت اصلی خود در واتساپ دسترسی ندارند. البته این آسیب پذیری چندان هم ناآشنا نیست، سال گذشته اپلیکیشن پیام رسان فیسبوک نیز دارای ضعف مشادر بود.

منبع: ۹to5mac ، Zoomit

دانلود آهنگ مسعود صادقلو ما به هم میایم