DAMMAM
الخميس
34°C
weather-icon
الجمعة
icon-weather
34°C
السبت
icon-weather
37°C
الأحد
icon-weather
33°C
الاثنين
icon-weather
34°C
الثلاثاء
icon-weather
36°C

ثغرة أمنية تتيح التجسس على مليار مستخدم لـ«ماسينجر»

المهاجم يشترط أن يكون ضمن أصدقاء المستخدم عبر «فيسبوك»

ثغرة أمنية تتيح التجسس على مليار مستخدم لـ«ماسينجر»
ثغرة أمنية تتيح التجسس على مليار مستخدم لـ«ماسينجر»
تحديث للمنصة أصلح الثغرة (اليوم)
ثغرة أمنية تتيح التجسس على مليار مستخدم لـ«ماسينجر»
تحديث للمنصة أصلح الثغرة (اليوم)
أصلحت شركة فيسبوك ثغرة أمنية في تطبيق منصة ماسينجر لنظام أندرويد، كانت تتيح للمهاجمين التجسس على المستخدمين دون علمهم.
وتم تثبيت تطبيق منصة ماسينجر لنظام أندرويد عبر أكثر من مليار جهاز أندرويد، وذلك وفقًا للصفحة الرسمية للتطبيق ضمن متجر جوجل بلاي.
واكتشفت الثغرة الأمنية أحد عناصر فريق أمان «بروجيكت زيرو» التابع لشركة جوجل ناتالي سيلفانوفيتش، والتي قالت إن الثغرة موجودة في طريقة تطبيق بروتوكول WebRTC الذي يستخدمه تطبيق منصة ماسينجر لإجراء المكالمات الصوتية والمرئية، موضحة أن المشكلة تكمن في بروتوكول SDP، وهو جزء من بروتوكول WebRTC، ويعالج SDP بيانات الجلسة لاتصالات بروتوكول WebRTC.
واكتشفت سيلفانوفيتش أنه يمكن إساءة استخدام رسالة بروتوكول SDP للموافقة التلقائية على اتصالات بروتوكول WebRTC دون تدخل المستخدم. ويستغرق استغلال الخلل بضع ثوان، وذلك وفقًا لتقرير خطأ سيلفانوفيتش، ومع ذلك، يجب أن يكون لدى المهاجم أذونات ـ أي أن يكون من ضمن أصدقاء المستخدم عبر فيسبوك ـ للاتصال بالشخص على الطرف الآخر. وأبلغت الباحثة في جوجل عن المشكلة إلى فيسبوك في الشهر الماضي، وصحّحتها عملاقة التواصل الاجتماعي عبر تحديث من جانب الخادم لمنصة ماسينجر.
وفي رسالة عبر منصة تويتر، قالت سيلفانوفيتش: إن شركة فيسبوك منحتها 60 ألف دولار كمكافأة للإبلاغ عن المشكلة، واختارت الباحثة في جوجل التبرع بقيمة المكافأة إلى منظمة «جيف ويل» غير الربحية التي تنسق الأنشطة الخيرية.
وقالت فيسبوك، التي قدّمت أيضًا تبرعًا بقيمة 60 ألف دولار خاصًا بها إلى «جيف ويل»: جائزة سيلفانوفيتش هي واحدة من أعلى ثلاث جوائز لدينا على الإطلاق، مما يعكس أقصى تأثير محتمل.
وفي السنوات السابقة، وجدت سيلفانوفيتش أيضًا، وأبلغت عن مشكلات مماثلة في تطبيقات المراسلة الفورية الأخرى، وهو أحد مجالات خبرتها.
وفي شهر أكتوبر 2018، اكتشفت خطأ في تطبيق واتساب لنظامي أندرويد و«آي او اس» كان من شأنه أن يسمح للمهاجمين بالسيطرة على التطبيق، بعد أن يرد المستخدم على مكالمة مرئية.
وفي شهر يوليو 2019، وجدت الباحثة أربعة أخطاء غير تفاعلية في تطبيق «آي مادسدج»، واكتشفت في الشهر نفسه خطأ خامسًا في «آي ماسدج» كان يمكن استخدامه لتخريب أجهزة آيفون.