نقص های امنیتی در یک پیام رسان شماره تلفن کاربران را فاش کرد
به گزارش لیمو بلاگ، پیام رسان Freedom Chat دو نقص امنیتی را برطرف کرده است.
به گزارش لیمو بلاگ به نقل از تک کرانچ، یکی از این نقص ها به محققان امنیتی امکان می داد شماره تلفن کاربران ثبت شده را حدس بزنند، و دیگری کدهای PIN تعیین شده توسط کاربران را برای دیگران در اپ آشکار می کرد. Freedom Chat که در ماه ژوئن انتشار یافت، خویش را یک پیامرسان امن معرفی و در وب سایتش ادعا می کرد شماره تلفن کاربران محرمانه باقی می ماند. اما اریک دیگل پژوهشگر امنیتی می گوید شماره تلفن ها و کدهای PIN کاربران که برای قفل کردن اپلیکیشن استفاده می شوند بسادگی قابل دسترسی بودند. دیگل هفته ی پیش این صدمه پذیری ها را کشف کرد و جزئیات آنرا به این نشریه اطلاع رسانی کرد برای اینکه Freedom Chat راه عمومی برای گزارش نقص های امنیتی، مانند برنامه افشای صدمه پذیری، ندارد. سپس تک کرانچ این چالش ها را به تنر هاس بنیان گذار Freedom Chat ایمیل کرد. بعد از آن هاس تأیید کرد اپلیکیشن مذکور حالا کدهای PIN کاربران را بازنشانی و نسخه جدیدی منتشر نموده است. او افزود شرکت درحال حذف مواردی است که شماره تلفن کاربران گهگاه قابل مشاهده بود و همینطور محدودیت نرخ درخواست ها را در سرورها افزایش داده تا از حملات حدس انبوه پیشگیری کند. دیگل که نتایج خویش را در یک پست وبلاگی منتشر نموده، در این می گوید: امکان حدس شماره تلفن نزدیک به دو هزار کاربر وجود داشت که از زمان راه اندازی Freedom Chat ثبت نام کرده بودند. به قول او، سرورهای Freedom Chat اجازه می دادند هر کسی میلیونها حدس شماره تلفن ارسال نماید تا مشخص شود آیا شماره ای در سرور ذخیره شده است یا خیر. این شیوه دقیقا مشابه تکنیکی است که ماه گذشته توسط دانشگاه وین شرح داده شد. محققان این دانشگاه داده های در ارتباط با حدود ۳.۵ میلیارد حساب کاربری واتس اپ را با انطباق میلیاردها شماره تلفن با سرورهای واتس اپ استخراج کردند. دیگل همینطور دریافت که Freedom Chat کدهای PIN کاربران را افشا می کند. او با بهره گیری از یک ابزار متن باز جهت بررسی ترافیک شبکه، شاهد آن بود که اپلیکیشن در جواب درخواست ها، کدهای PIN همه کاربران دیگر در همان کانال عمومی را ارسال می کرد حتی اگر این کدها در خود اپلیکیشن قابل مشاهده نبودند. Freedom Chat دومین برنامه مسنجر هاس است؛ پیشتر اپلیکیشن Converso بعد از افشای نقص های امنیتی که پیام ها و محتوای خصوصی کاربران را آشکار می کرد، از فروشگاه های اپلیکیشن حذف شد. برنامه مسنجر Freedom Chat دومین محصول تنر هاس است. پیشتر، اولین اپلیکیشن او با نام Converso بعد از افشای نقص های امنیتی که پیام ها و محتوای خصوصی کاربران را در معرض دید قرار می داد، از فروشگاه های اپ حذف شد.
به طور خلاصه این شیوه دقیقاً مشابه تکنیکی است که ماه گذشته توسط دانشگاه وین شرح داده شد. محققان این دانشگاه داده های در رابطه با حدود ۳.۵ میلیارد حساب کاربری واتساپ را با انطباق میلیاردها شماره تلفن با سرورهای واتساپ استخراج کردند.
منبع: لیمو بلاگ
این مطلب لیمو بلاگ را می پسندید؟
(1)
(0)
تازه ترین مطالب مرتبط در لیموبلاگ
نظرات بینندگان لیموبلاگ در مورد این مطلب