WhatsApp به تازگی پچی برای ایراد خطرناکش عرضه کرد که توسط هکرها مورد سوءاستفاده قرار گرفته بود. روش حمله آنها به این صورت بود که تنها با برقراری یک تماس به شماره تلفن قربانی بر روی گوشی افراد خاص و دست چین شده­ ای،  جاسوس افزار نصب می کردند.

این ایراد توسط شرکت اسرائیلی NSO Group، توسعه دهنده پیشرفته­ ترین بد افزارهای جاسوسی در جهان، کشف، آماده سازی و فروخته شد که با استفاده از این نقطه ضعف WhatsApp مهاجم می­ تواند بد افزار جاسوسی Pegasus را در گوشی های آندروید و iOS نصب ­کند.

به گفته یک مشاور در Facebook، ایراد سرریز بافر در قسمت VOIP نرم­افزار به مهاجم اجازه می­ دهد با ارسال تعداد زیادی بسته طراحی شده SRTCP به گوشی مورد نظر، دستور مخربی را اجزا کند.

این طور به نظر می­رسد که این نقطه ضعف، به نام CVE-2019-3568، به راحتی می ­تواند با برقراری یک تماس از طریق WhatsApp ، حتی در صورتی که فرد به آن پاسخ ندهد،  جاسوس افزار نصب کند و اطلاعات گوشی آندروید یا iOS مورد نظر را استخراج کند.

همچنین، قربانی هرگز از این نفوذ باخبر نخواهد شد چون بدافزار اطلاعات تماس وارده را از لیست حذف می­ کند تا بتواند به طور نا محسوس فعالیت کند.

با اینکه شماره تماس دقیق قربانیان این حمله مشخص نیست، به گفته مهندسین WhatsApp تنها تعداد خاصی از کاربران، هدف این نقطه ضعف و بدافزار بودند.

در همین حال، یک گروه  امنیتی در دانشگاه تورنتو که فعالیت­های NSO را تحت نظر دارد، بر این باورند که این نقطه ضعف برای حمله به وکلای حقوق بشر انگلیسی طراحی شده بود.

گروه بدافزار Pegasus شرکت NSO این امکان را برای مهاجم ها فراهم کرده که به حجم عظیمی از اطلاعات گوشی هوشمند قربانی، بدون اطلاع وی، دسترسی پیدا کنند که شامل پیام­های متنی، ایمیل ها، پیام های ارسالی از طریق WhatsApp، اطلاعات مخاطبین، تاریخچه تماس­ها، مکان نما، میکروفون می­ باشد.

این جاسوس افزار در اوایل سال قبل بر علیه مدافعان حقوق بشر و روزنامه نگاران مکزیکی تا اماراتی، کارمندان سازمان عفو بین الملل در عربستان سعودی و گروه حافظ حقوق بشر عربستانی در خارج از آن کشور هم استفاده شده بود.

این نقیصه در تمامی نسخه های WhatsApp به غیر از آخرین نسخه آن وجود دارد و این یعنی 1.5 میلیون کاربر این برنامه در معرض این حمله قرار دارند، Facebook به تازگی نسخه جدیدی عرضه کرده و در آن، مشکل را برطرف ساخته است.

مهندسان این برنامه در اوایل ماه جاری متوجه نقطه ضعف برنامه شده و بلافاصله به وزارت دادگستری اطلاع دادند. آنها از کاربران آندروید و iOS درخواست دارند هرچه سریعتر این برنامه محبوب را به روز رسانی کنند.

نظرات

نظر (به‌وسیله فیس‌بوک)