می‌توان تلگرام و واتس‌‌اپ را با یک عکس آلوده هک کرد

توضیحات: وحید علی‌محمدی; دسته: اخبار امنیت; 26 اسفند 1395 09:01

اصولاً اگر کسی به شما بگوید که می‌تواند حساب تلگرام یا واتس‌اپ شما را در چشم به هم زدنی هک کند، اصولاً نباید به او اعتماد کنید؛ زیرا این نرم افزارهای آن‌قدر با دقت طراحی شده اند که ادعا می‌شود امکان هک کردن آنها صفر است. اما آیا باید واقعاً قبول کنیم که هیچ راه هک کردنی برای آنها وجود ندارد؟ به نظر پاسخ این سوال منفی است و می‌شود راهکاری برای نفوذ به دستگاه های کاربر از این دو سرویس یافت.

بدون شک هک شدن ابزارهای ارتباطی یکی از مهمترین اتفاقاتی است که در دنیای ارتباطات می‌تواند برای کاربران مشکل‌زا شود. در مورد نرم افزار های پیام رسان تا به امروز حداکثر تلاش ها در این راستا بوده است که بتوان از هک شدن و هک کردن حسابهای کاربر جلوگیری کرد؛ اما به هر حال شاید با وجود این تلاش ها، هنوز هم راه حل هایی وجود داشته باشد که طراحان این نرم افزارها از آن ها بی‌خبرند.

طی روزهای گذشته وبسایت معتبر امنیتی Chekpoint اعلام کرده است که روشی برای هک دو سرویس محبوب تلگرام و واتس‌اپ پیدا کرده است که در آن ها ابزار کار تنها یک تصویر آلوده است. در همین زمینه آقای Oded Vanunu، مسئول تیم تحقیقات نفوذپذیری های محصولات در چک پوینت می‌گوید:

می‌توان تنها با ارسال یک عکس با ظاهر ساده، کنترل حساب کاربری فرد را به دست گرفت، از تاریخچه گفتگوها و پیام های او مطلع شد، به عکس های او، هر کجا که به اشتراک گذاشته شده باشند دسترسی پیدا کرد و حتی به افراد دیگر از طرف او پیام فرستاد.

البته چک پوینت اعلام کرده است که خبر کشف این دو آسیب پذیری را یک هفته قبل (8 مارس) به اطلاع دو شرکت مسئول واتس‌اپ و تلگرام رسانده است و هر دوی این شرکت ها سعی کرده اند با ایجاد تغییراتی در سرویس های خود و در بخش اعتبار سنجی فایل ها در هنگام ارسال، امکان هک شدن از این راه را مرتفع نمایند.

اما نحوه عملکرد این دو نرم افزار در دو پلتفرم با هم کمی متفاوت است. در واتس‌اپ اگر کاربر عکس آلوده ای که برایش ارسال شده است را روی دستگاه خود باز کند، بدون نیاز به عملی دیگر، امکان دسترسی به حساب فرد توسط هکر فراهم می‌شود ولی در تلگرام با راهکاری پیچیده و البته مشکل تر، نیاز است تا یک ویدئوی خاص در یک تب مجزا در مرورگر کروم باز شود و پس از باز شدن آن صفحه HTML است که داده های فرد به درخواست صفحه مورد نظر، در اختیار هکر قرار می‌گیرد.

اما در مورد این دو نرم افزار مشکلی نیز برای سیستم و هسته نرم افزار وجود دارد که در واقع یکی از ویژگی های اصلی و محاسن آن است. بر خلاف سیستم های ایمیل معمولی مانند جیمیل و یاهو، در تلگرام و واتس‌اپ، اطلاعات به صورت دو طرف رمزگذاری می‌شود و حتی خود شرکت نیز نمی‌تواند با اینکه مسیر ارتباط دو کاربر با هم را فراهم می‌کند، به آن اطلاعات دسترسی پیدا کند. همین ویژگی در سمت دیگر می‌توان نقطه آسیب باشد؛ چرا که راهکار مشخصی برای بررسی پیام های ارسالی و دریافتی را باقی نمی‌گذارد و به همین دلیل می‌توان هر فایلی را، هر چند مخرب و یا آسیب زا، برای دیگران ارسال نمود. البته همانطور که گفتیم تلگرام در این زمینه اعلام کرده که الگوریتم خاصی را در نظر دارد تا بتوان تا حدی، سالم و بدون عیب بودن فایل ها را اعتبار سنجی نمود.

البته ساعاتی پیش نیز شرکت واتس‌اپ با ارسال پیامی به وبسایت TheVerge نسبت به این خبر اینگونه واکنش نشان داد:

ما واتس‌اپ را برای امن نگه داشتن مشترکان‌مان و اطلاعاتشان امن نگه می‌داریم. زمانی که چک پوینت موضوع را به ما اعلام کرد، به فاصله یک روز ما بروزرسانی را برای همه سرویس های خود در سراسر وب منتشر کردیم که بتواند به آن رسیدگی کند. در همین زمینه اگر شما نیز از سرویس های ما استفاده می‌کنید حتماً با ریستارت کردن دستگاه خود و بروزرسانی آن، از دسترسی به آخرین نسخه نرم افزار مطمئن شوید.

در همین زمینه چندی پیش نیز موسسه چک پوینت مورد جالب و البته خطرناکی را کشف کرده بود که در آن برخی توزیع کنندگان اسمارت فون ها گوشی هایی را در ابعاد وسیع (بیش از یک میلیون دستگاه) در بازار توزیع کرده بودند که در آنها بدافزارهایی قرار داده شده بود که می‌توانستند با استفاده از دستگاه میزبان، به فروشگاه گوگل پلی استور بروند و به برخی نرم افزارهای هدف، امتیاز داده و باعث افزایش رتبه آنها در این فروشگاه شوند.