امنیت فایلهای دریافتی در واتساپ و تلگرام تضمینشدنی نیست
ذخیرهسازی فایلهای مدیای واتساپ و تلگرام روی حافظهی خارجی، امکان دستکاری آنها را پس از دریافت فراهم میکند.
رویداد۲۴ واتساپ و تلگرام همواره به رمزنگاری قوی پیغامهای درحال ارسال شناخته شدهاند. اما این دو اپلیکیشن ممکن است نتوانند فایلها را پس از رسیدن به گوشی کاربر نیز امن نگهدارند. امروز تعدادی از محققان سیمنتک (Symantec) توضیح دادند که چگونه هکرها میتوانند با استفاده از یک بدافزار، فایلهای مدیای ارسالشده توسط این سرویسها را بهشکلی ماهرانه تغییر دهند.
در سیستمهای اندرویدی، کاربران میتوانند انتخاب کنند که فایلهای مدیای آنها مانند عکس و آهنگ در حافظهی داخلی ذخیره شود یا در حافظهی خارجی. در حالت اول، فایلها تنها توسط خود برنامه قابل دسترسی هستند، اما در حالت دوم، سایر برنامهها نیز میتوانند به فایلها دستیابند. واتساپ بهطور پیشفرض و تلگرام درصورت فعال بودن قابلیت «Save to Gallery»، فایلهای مدیا را در حافظهی خارجی ذخیره میکنند.
بهگفتهی محققان، این بدین معنی است که اگر بدافزاری به حافظهی خارجی دسترسی داشته باشد، میتواند فایلهای مدیای تلگرام و واتساپ را حتی پیش از آنکه کاربر آنها را ببیند تغییر دهد. بهطور مثال اگر کاربر یک بدافزار دانلود کرده و سپس عکسی در واتساپ دریافت کند، یک هکر میتواند آن را بدون متوجهشدن کاربر دستکاری کند. این هکر حتی ممکن است توانایی دستکاری پیغامهای مولتیمدیای درحال ارسال را هم داشته باشد.
محققان اینگونه حملهها را «سرقت فایل مدیا» مینامند. این مشکل، از جهاتی شناختهشده است و در پیامرسانهای اندرویدی همواره بین حریم خصوصی و دسترسی آسان، یکی باید قربانی شود. با تنظیم استفاده از حافظهی خارجی (که بسیار هم رایج است)، برنامهها با یکدیگر سازگارتر میشوند؛ چراکه عکسها و سایر دادهها با آزادی بیشتری جابهجا میشوند. اما این سازگاری بدون هزینه نیست؛ کما اینکه سال گذشته هم محققان به مشکلات مشابهی برخورد کرده بودند.
تلگرام به درخواست اظهارنظر دربارهی این موضوع بالافاصله پاسخ نداد. سخنگوی واتساپ نیز گفت که تغییر سیستم ذخیرهسازی، قابلیتهای بهاشتراکگذاری این سرویس را محدود میکند و ممکن است حتی به مشکلات امنیتی جدیدی منجر شود.
این سخنگو در بیانیهی خود میگوید:
واتساپ، مشکل را بهشکل دقیقی بررسی کرده و آن را مشابه بحثهایی میداند که قبلا هم درمورد تأثیر فضای ذخیرهسازی گوشیها بر اکوسیستم اپلیکیشنها مطرح بوده است. واتساپ درحال حاضر از بهترین روشهایی که سیستمعامل برای ذخیرهسازی مدیا فراهم کرده است، استفاده میکند و همگام با توسعهی اندروید، بهروزرسانیهای خود را عرضه میکند.
با وجود توضیحات، این دو اپلیکیشن با سایر پیامرسانها تفاوت دارند. همانطور که محققان اشاره میکنند، کاربران از برنامههای رمزنگاریشده انتظار دارند که هم درستی هویت فرستنده و هم درستی محتوای پیغام را تضمین کنند.
محققین میگویند: «همانطور که قبلا هم گفتهایم، هیچ کدی در مقابل نفوذپذیری امنیتی ایمن نیست.»
در سیستمهای اندرویدی، کاربران میتوانند انتخاب کنند که فایلهای مدیای آنها مانند عکس و آهنگ در حافظهی داخلی ذخیره شود یا در حافظهی خارجی. در حالت اول، فایلها تنها توسط خود برنامه قابل دسترسی هستند، اما در حالت دوم، سایر برنامهها نیز میتوانند به فایلها دستیابند. واتساپ بهطور پیشفرض و تلگرام درصورت فعال بودن قابلیت «Save to Gallery»، فایلهای مدیا را در حافظهی خارجی ذخیره میکنند.
بهگفتهی محققان، این بدین معنی است که اگر بدافزاری به حافظهی خارجی دسترسی داشته باشد، میتواند فایلهای مدیای تلگرام و واتساپ را حتی پیش از آنکه کاربر آنها را ببیند تغییر دهد. بهطور مثال اگر کاربر یک بدافزار دانلود کرده و سپس عکسی در واتساپ دریافت کند، یک هکر میتواند آن را بدون متوجهشدن کاربر دستکاری کند. این هکر حتی ممکن است توانایی دستکاری پیغامهای مولتیمدیای درحال ارسال را هم داشته باشد.
محققان اینگونه حملهها را «سرقت فایل مدیا» مینامند. این مشکل، از جهاتی شناختهشده است و در پیامرسانهای اندرویدی همواره بین حریم خصوصی و دسترسی آسان، یکی باید قربانی شود. با تنظیم استفاده از حافظهی خارجی (که بسیار هم رایج است)، برنامهها با یکدیگر سازگارتر میشوند؛ چراکه عکسها و سایر دادهها با آزادی بیشتری جابهجا میشوند. اما این سازگاری بدون هزینه نیست؛ کما اینکه سال گذشته هم محققان به مشکلات مشابهی برخورد کرده بودند.
تلگرام به درخواست اظهارنظر دربارهی این موضوع بالافاصله پاسخ نداد. سخنگوی واتساپ نیز گفت که تغییر سیستم ذخیرهسازی، قابلیتهای بهاشتراکگذاری این سرویس را محدود میکند و ممکن است حتی به مشکلات امنیتی جدیدی منجر شود.
این سخنگو در بیانیهی خود میگوید:
واتساپ، مشکل را بهشکل دقیقی بررسی کرده و آن را مشابه بحثهایی میداند که قبلا هم درمورد تأثیر فضای ذخیرهسازی گوشیها بر اکوسیستم اپلیکیشنها مطرح بوده است. واتساپ درحال حاضر از بهترین روشهایی که سیستمعامل برای ذخیرهسازی مدیا فراهم کرده است، استفاده میکند و همگام با توسعهی اندروید، بهروزرسانیهای خود را عرضه میکند.
با وجود توضیحات، این دو اپلیکیشن با سایر پیامرسانها تفاوت دارند. همانطور که محققان اشاره میکنند، کاربران از برنامههای رمزنگاریشده انتظار دارند که هم درستی هویت فرستنده و هم درستی محتوای پیغام را تضمین کنند.
محققین میگویند: «همانطور که قبلا هم گفتهایم، هیچ کدی در مقابل نفوذپذیری امنیتی ایمن نیست.»
منبع: زومیت
خبر های مرتبط