نقص های امنیتی در یک پیام رسان شماره تلفن کاربران را فاش کرد
دانلود فایل: پیامرسان Freedom Chat دو نقص امنیتی را برطرف کرده است.
به گزارش دانلود فایل به نقل از تک کرانچ، یکی از این نقص ها به محققان امنیتی امکان می داد شماره تلفن کاربران ثبت شده را حدس بزنند، و دیگری کدهای PIN تعیین شده توسط کاربران را برای دیگران در اپ آشکار می کرد. Freedom Chat که در ماه ژوئن انتشار یافت، خودرا یک پیامرسان امن معرفی و در وب سایتش ادعا می کرد شماره تلفن کاربران محرمانه باقی می ماند. اما اریک دیگل پژوهشگر امنیتی می گوید شماره تلفن ها و کدهای PIN کاربران که برای قفل کردن اپلیکیشن استفاده می شوند بسادگی قابل دسترسی بودند. دیگل هفته قبل این لطمه پذیری ها را کشف کرد و جزییات آنرا به این نشریه اطلاع رسانی کرد برای اینکه Freedom Chat راه عمومی برای گزارش نقص های امنیتی، مانند برنامه افشای لطمه پذیری، ندارد. سپس تک کرانچ این چالش ها را به تنر هاس بنیان گذار Freedom Chat ایمیل کرد. بعد از آن هاس تأیید کرد اپلیکیشن مذکور حال کدهای PIN کاربران را بازنشانی و نسخه جدیدی منتشر نموده است. او افزود شرکت درحال حذف مواردی است که شماره تلفن کاربران گهگاه قابل مشاهده بود و همین طور محدودیت نرخ درخواست ها را در سرورها افزایش داده تا از حملات حدس انبوه پیشگیری کند. دیگل که یافته های خودرا در یک پست وبلاگی منتشر نموده، در این می گوید: امکان حدس شماره تلفن نزدیک به دو هزار کاربر وجود داشت که از زمان راه اندازی Freedom Chat نام نویسی کرده بودند. بگفته او، سرورهای Freedom Chat اجازه می دادند هر کسی میلیونها حدس شماره تلفن ارسال نماید تا مشخص شود آیا شماره ای در سرور ذخیره شده است یا خیر. این تکنیک دقیقاً مشابه تکنیکی است که ماه گذشته توسط دانشگاه وین شرح داده شد. محققان این دانشگاه داده های مربوط به حدود ۳.۵ میلیارد حساب کاربری واتساپ را با انطباق میلیاردها شماره تلفن با سرورهای واتساپ استخراج کردند. دیگل همین طور دریافت که Freedom Chat کدهای PIN کاربران را افشا می کند. او با بهره گیری از یک ابزار متن باز جهت بررسی ترافیک شبکه، شاهد آن بود که اپلیکیشن در جواب درخواست ها، کدهای PIN همه کاربران دیگر در همان کانال عمومی را ارسال می کرد حتی اگر این کدها در خود اپلیکیشن قابل مشاهده نبودند. Freedom Chat دومین برنامه پیامرسان هاس است؛ قبل تر اپلیکیشن Converso بعد از افشای نقص های امنیتی که پیام ها و محتوای خصوصی کاربران را آشکار می کرد، از فروشگاه های اپلیکیشن حذف شد. برنامه پیامرسان Freedom Chat دومین محصول تنر هاس است. قبل تر، اولین اپلیکیشن او با نام Converso بعد از افشای نقص های امنیتی که پیام ها و محتوای خصوصی کاربران را در معرض دید قرار می داد، از فروشگاه های اپ حذف شد.
بطور خلاصه، این تکنیک دقیقاً مشابه تکنیکی است که ماه گذشته توسط دانشگاه وین شرح داده شد. پژوهشگران این دانشگاه داده های مربوط به حدود ۳.۵ میلیارد حساب کاربری واتساپ را با انطباق میلیاردها شماره تلفن با سرورهای واتساپ استخراج کردند.
منبع: itfile.ir
این مطلب را می پسندید؟
(1)
(0)
تازه ترین مطالب مرتبط
نظرات بینندگان در مورد این مطلب