دراسة تكشف ثغرة في تعامل واتساب وتيليغرام مع الصور والفيديوهات والرسائل الصوتية
كشف بحث أمني أنجزته شركة Symantec عن قدرة القراصنة على التلاعب في الصور وملفات الفيديو التي يستلمها المستخدم عبر تطبيقات واتساب وتيليغرام وذلك بواسطة تطبيق مزيف.
https://youtu.be/FHvkGUh8S_c
وفي التفاصيل أوضحت الدراسة أنه لو استخدم القراصنة تطبيق مزيف وتم تنصيبه على جهاز المستخدم الذي يحوي سابقاً أحد تطبيقي الدردشة الشهيرين واتساب وتيليغرام، يمكن للقراصنة حينها عبر التطبيق المزيف التلاعب بالصور والفيديوهات التي تصل المستخدمين عبر الدردشة وذلك دون ملاحظة أي اختلاف.
ويستغل التطبيق المزيف الفترة الزمنية الفاصلة ما بين استقبال الصور والفيديوهات وحتى الرسائل الصوتية وتخزينها على مساحة التخزين، وما بين عرضها ضمن واجهة الدردشة.
https://youtu.be/Xt5BI0gIwnw
ويدعى هذا النوع من الهجمات باسم Media File Jacking وهو يستغل فكرة الموازنة ما بين الخصوصية و قدرة تطبيقات الدردشة على الوصول إلى الملفات عبر أندرويد. خاصة مع التخزين على بطاقات الذاكرة الخارجية فإن التطبيقات تسمح بنقل الملفات بحرية أكبر مقارنة مع التخزين الداخلي.
واتساب تبرر
من جهتها علّقت واتساب أن تغيير نظام تخزين الملفات في التطبيق سيقيد من قدرته على مشاركة الملفات. وأوضحت أنها سبق لها تفحص مثل هذه المشاكل وأنها تتبع أفضل الممارسات التي توصي بها قوقل لتخزين ملفات الوسائط المتعددة.
يمكن التخلص من هذه الثغرة الأمنية وفي الخصوصية عند منع التطبيق من تخزين الصور والفيديوهات المستلمة على الذاكرة الخارجية. وتظهر خطورة الثغرة عند التلاعب في بعض الصور والبيانات الحساسة التي تحوي أرقام وأسماء وفواتير.
https://youtu.be/bKBk6NBHw5s