آخرین مطالب سایت :

سامانه پیام کوتاه قبیله منتظر:

  • 30008800444313

نواقص و تهدیدات امنیتی برنامه WhatsApp

 

نواقص و تهدیدات امنیتی برنامه WhatsApp

به‌تازگی انتقادهایی نسبت به امنیت پلتفرم واتس‌اپ که میلیاردها پیغام بر روی آن تحویل داده می‌شوند، بوجود آمده است. محققان لابراتوار امنیتی Praetorian، وجود چندین مشکل امنیتی مرتبط با SSL را در واتس‌اپ با بکارگیری «پروژه نپتون» تأیید نموده‌اند.

لازم به ذکر است پروژه نپتون، پلتفرمی برای تست امنیت برنامه‌های موبایلی می‌باشد. این در حالی است که کمپانی واتس‌اپ در وبلاگ رسمی خود بیان کرده:

ارتباطات بین گوشی شما و سرورهای ما به طور کامل رمزنگاری می‌شوند.

ما تاریخچه گفتگوهای شما را در سرورهای خود ذخیره نمی‌کنیم. به محض اینکه پیغام شما با موفقیت تحویل مخاطب موردنظرتان شود، آن پیغام از سیستم ما حذف خواهد شد.

اما محققان، آسیب‌پذیری را در این برنامه یافته‌اند که آن را مستعد حملاتی از نوع «مردی در میانه» یا Man-in-the-Middle Attack می‌نماید؛ چرا که واتس‌اپ از قابلیت SSL Pinning پشتیبانی نمی‌کند و این موضوع امکان دزدیده‌شدن اعتبارها را به سادگی فراهم می‌کند.

 

بگذارید برای درک بهتر این موضوع کمی مختصر به بررسی مفاهیمی نظیر SSL، Man-in-the-Middle Attack و SSL Pinning بپردازیم.

 

SSL یا Secure Sockets Layer به دو طریق از شما محافظت می‌کند. این لایه محافظتی با رمزنگاری اطلاعات شما، از دزدیده‌شدن اطلاعات حیاتی شما نظیر نام‌های کاربری، کلمه‌های عبور، شماره و کلمه‌عبور کارت‌های اعتباری و… جلوگیری می‌کند. همچنین SSL می‌تواند اعتبار و هویت یک سایت را تأیید نماید.

 

Man-in-the-Middle Attack نیز به حملاتی گفته می‌شود که در آن اعتبار SSL یک سایت دزدیده و یا جعل می‌شود تا کاربران آن سایت به اشتباه به یک سایت جعلی اطمینان کنند. اما چگونه چنین چیزی رخ می‌دهد؟! شما به هنگام مرور یک وب‌سایت با تأییدیه SSL جعلی و نامعتبر از طریق یکی از مرورگرهای محبوب نظیر کروم، اخطاری مبنی بر اعلام این موضوع دریافت می‌کنید. اما مشکل وقتی پیش می‌آید که ترافیک فی‌مابین شما و سایت مورد نظر از طریق برنامه‌های موبایلی و غیرمرورگرها منتقل می‌شود و شما دیگر موفق به دریافت تأییدیه برای صحت SSL سایت موردنظر نخواهید شد. بنابراین در صورت مواجهه با سایتی که از یک SSL جعلی و غیرمعتبر استفاده می‌کند، هیچ اخطار خاصی شما را از ورود به آن سایت بازنخواهد داشت.

 

و اما SSL Pinning؛ این ویژگی که در اغلب اپلیکیشن‌های نظیر گوگل، توئیتر و فیس‌بوک به کار گرفته شده است، بصورت خودکار از پذیرفتن اتصال به وب‌سایت‌هایی که SSL نامعتبر ارائه می‌دهند ممانعت می‌کند؛ به عبارتی این قابلیت به کاربر کمک می‌کند تا فقط و فقط به تبادل اطلاعات با سایتی بپردازد که گواهینامه معتبر مربوطه را دارا است.

 

کارشناسان امنیتی معتقدند:

در حالی که ویژگی SSL Pinning امکان برقراری یک اتصال ایمن بین اپلیکیشن موبایلی و وب‌سرویس را ارائه می‌نماید، واتس‌اپ از این قابلیت بی‌بهره است. بدون اجبار در بکارگیری SSLPinning، یک حمله‌کننده می‌تواند با استفاده از تکنیک man-in-the-middle ارتباط بین اپلیکیشن موبایلی و وب‌سرویس واتس‌اپ را به راحتی مورد نفوذ قرار داده و به سوء‌استفاده از اطلاعات شخصی و حساس کاربران بپردازد.

 

واتس‌اپ به سرورهای میزبانی اطلاعات خود این اجازه را می‌دهد تا با استفاده از معماری‌های رمزنگاری ضعیفی مثل ۴۰ بیت و ۵۶ بیت به رمزنگاری اطلاعات کاربران بپردازند. این معماری‌های سطح پایین را می‌توان به راحتی و با بکارگیری شیوه‌هایی نظیر حملات Brute Force رمزگشایی نمود؛ شیوه‌ای که به گفته محققان، مورد علاقه سازمان‌های جاسوسی نظیر NSA می‌باشد.

 

به هر حال تیم واتس‌اپ اعلام نموده‌اند که در حال تلاش برای اضافه نمودن ویژگی SSL Pinning به برنامه خود هستند؛ هر چند در حال حاضر این نقیصه نمی‌تواند نوید حفاظت از حریم خصوصی کاربر را بدهد.

 

با این تفاصیل آیا به نظر شما صحیح است که این نرم افزار مخرب و غیرقابل اعتماد که علاوه بر مشکلات و نقیصه های بزرگ امنیتی هم اکنون توسط غول بزرگ جاسوسی فیس بوک مدیریت می شود در دستان برخی شهروندان ناآگاه ایرانی قرار بگیرد ؟

 

براساس اخبار واصله شرکت صهیونیستی فیسبوک قصد دارد ۱۱ هزار پهپاد Solara60 را برای نفوذ به خاک کشورهای جهان، باهدف اتصال رایگان نرم افزار واتس اپ به اینترنت، خریداری کند .

آیا باز موج سواران سیاسی بازگشایی فیس بوک بدنبال حمایت از این بدافزارهای جاسوسی هستند ؟ لابد باید منتظر پروژه های تبلیغاتی بعدی آنها باشیم .

 

با تشکر از وحید دیانی

 

منبع: فیمنا

 




  • تاريخ: 19 اسفند 1392
  • نويسنده: admin
  • دسته بندی: جنگ نرم و دشمن شناسی / جنگ نرم

  • برچسب ها: WhatsApp واتس اپ برنامه واتس اپ دانلود WhatsApp دانلود واتس اپ WhatsApp برای اندروید WhatsApp برای سیمبین خطرات واتس اپ خطرات WhatsApp


    ارسال نظر

    عکس خوانده نمی شود
    • ??????? ????
    • ????? ?????
    • ???? ?????
    • ??????
    •  ?????????
    • ?????? ??? ??????
    • ???????
    • ????? ??? ???? ????
    • ????? ?????
    • ??? ??? ? ???? ?????
    • ???????
    • ???? ??? ??????? ? ?????? ?????
    • ???? ?????
    • ????? ????? ? ????
    • ????? ????? ? ?????
    • ????????
    • ????? ? ??????? ??
    • ??? ?????
    • ??? ?????
    • ??? ? ??????

     

     

    http://qm313.com/upload/1353725842.gif http://qm313.com/upload/1390813800.jpg

    قبيله منتظر

     

     

    http://qm313.com/upload/1391111430.jpg http://qm313.com/upload/1390769457.jpg