پژوهشگاه فضای مجازی
پرچم جمهوری اسلامی ایران
 
 پژوهشگاه فضای مجازی    اخبار    یادداشت‌های فضای مجازی
   
 
    • آسیب‌پذیری سیگنال، فیسبوک و گوگل؛ ایجاد امکان جاسوسی از کاربران
      تاریخ خبر: ۱۴۰۰/۰۱/۲۵زمان خبر: ۰۸:۵۹تعداد بازدید: ۲۶۱

      آسیب‌پذیری سیگنال، فیسبوک و گوگل؛ ایجاد امکان جاسوسی از کاربران

      آسیب‌پذیری سیگنال، فیسبوک و گوگل؛ ایجاد امکان جاسوسی از کاربران

      اشکالات نرم‌افزاری موجود در برنامه‌های چت سیگنال، فیسبوک و گوگل به مهاجمان اجازه می‌دهد تا از کاربران جاسوسی کنند. آسیب‌پذیری‌های موجود در چندین برنامه موبایلی دارای قابلیت ویدئوکنفرانس به مهاجمان اجازه می‌دهد بدون اجازه و بدون اینکه تماسی از طرف فردی صورت پذیرد، به محیط اطراف کاربران گوش دهند.

      این اشکالات (باگ) منطقی توسط محقق امنیتی پروژه صفر گوگل[1]، خانم ناتالی سیلوانوویچ[2] در برنامه‌های پیام‌رسانی سیگنال، گوگل‌دیو[3]، فیسبوک مسنجر[4]، جیوچت[5] و موکا[6] پیدا شده است و در حال حاضر همگی برطرف شده‌اند.

      بااین‌حال قبل از رفع اشکال، آن‌ها این امکان را فراهم کردند که دستگاه‌های هدف مجبور شوند صدا را به دستگاه مهاجمان منتقل کنند بدون اینکه نیازی به اجرای کد داشته باشند.

      سیلوانوویچ در این خصوص توضیح داد:

      «من در مورد ماشین‌های سیگنالینگ هفت برنامه ویدئوکنفرانس تحقیق کردم و پنج آسیب‌پذیری را یافتم که می‌تواند به یک دستگاه تماس‌گیرنده اجازه دهد دستگاه هدف را مجبور به انتقال داده‌های صوتی یا تصویری کند.»

      قاعدتاً اطمینان از رضایت فردی که با او تماس گرفته می‌شود، قبل از انتقال صدا یا تصویر، یک مسئله خیلی ساده است یعنی اینکه باید قبل از مسیریابی به هرگونه نقطه اتصال، منتظر پذیرش تماس توسط کاربر ماند.

      «بااین‌حال، هنگامی‌که من به برنامه‌های واقعی نگاه کردم، آن‌ها انتقال ]اطلاعات[ را به طرق مختلف امکان‌پذیر می‌کردند. بیشتر این موارد منجر به آسیب‌پذیری‌هایی می‌شود که امکان اتصال، بدون پذیرش تماس را فراهم می‌کند.»

      همان‌طور که سیلوانوویچ فاش کرد، یک اشکال برنامه سیگنال که در سپتامبر سال 2019 رفع شد، امکان اتصال تماس صوتی با ارسال پیام اتصال از طریق دستگاه تماس‌گیرنده بود، بدون اینکه کاربر تعاملی صورت داده باشد.
      اشکال گوگل‌دیو این بود که در یک شرایط مسابقه‌ای، به دستگاهی که با او تماس گرفته شده، اجازه می‌داد به بسته‌های ویدئویی تماس‌های بی‌پاسخ دستگاه تماس‌گیرنده نفوذ کند. این اشکال در دسامبر سال 2020 برطرف شد. درحالی‌که نقص فیسبوک مسنجر این بود که اجازه اتصال تماس‌های صوتی را قبل از پاسخ دادن به تماس می‌داد که این هم در نوامبر 2020 برطرف شد.

      دو آسیب‌پذیری مشابه نیز در پیام‌رسان‌های جیوچت و موکا در ژوئیه 2020 کشف شد، اشکالاتی که اجازه ارسال صوت در جیوچت (رفع در جولای 2020) و اجازه ارسال صوت و تصویر در موکا (اصلاح در آگوست 2020) را بدون رضایت کاربر می‌داد.

      سیلوانوویچ همچنین به دنبال اشکالات مشابه در سایر برنامه‌های ویدئوکنفرانس از جمله تلگرام و وایبر بود؛ اما چنین مواردی را پیدا نکرد.

      سیلوانوویچ افزود:

      «اکثر ماشین‌های تماس تلفنی دولتی که من بررسی کردم دارای آسیب‌پذیری منطقی هستند که اجازه می‌دهد محتوای صوتی یا تصویری از فردی که با او تماس گرفته شده، بدون رضایت او، به تماس‌گیرنده منتقل شود.»

      «همچنین نگران‌کننده است بدانید که من به هیچ ویژگی تماس گروهی این برنامه‌ها نگاه نکردم و تمام آسیب‌پذیری‌های گزارش‌شده در تماس‌های همتا به همتا مشاهده شد. این عرصه برای کارهای آینده است که البته می‌تواند مشکلات بیشتری را نمایان سازد.»

      دو سال پیش نیز سیلوانوویچ در پیام‌رسان موبایلی واتس‌اپ[7] آسیب‌پذیری مهمی پیدا کرد که می‌توانست به‌سادگی با پاسخ یک کاربر به درخواست تماس، منجر به خرابی برنامه یا به خطر افتادن کامل آن شود.

      محمدسجاد زارع (دانشجوی ارشد فلسفه و کلام اسلامی دانشگاه تهران)
      تهیه‌شده در گروه مطالعات اخلاقی پژوهشگاه فضای مجازی

      لینک منبع

      [1] Google Project Zero
      [2] Natalie Silvanovich
      [3] Google Duo
      [4] Facebook Messenger
      [5] JioChat
      [6] Mocha
      [7] WhatsApp
      اخبار مرتبط
          
      نظر کاربران
      نام:
      پست الکترونیک:
      شرح نظر:
      کد امنیتی:
       
آدرس: تهران، سعادت آباد، خیابان علامه شمالی، کوچه هجدهم غربی، پلاک 17
کد پستی: 1997987629
تلفن: 22073031
پست الکترونیک: info@csri.ac.ir

پیوندها


پورتال سامان

مجری : پورتال سامان
هر گونه کپی‌برداری از مطالب با ذکر منبع بلامانع است