آسیب‌پذیری جدید واتس‌اپ: هک گوشی تنها با دریافت یک تصویر!

به گزارش ایتنا، بر اساس یافته‌های این تیم تحقیقاتی، مکانیسم این حمله که در قالب یک «نمایش اثبات مفهوم» تأیید شده است، به طور همزمان از دو نقطه ضعف مجزا در بستر واتس‌اپ سوءاستفاده می‌کند. بررسی‌ها نشان می‌دهد این آسیب‌پذیری دستگاه‌های مختلف شرکت اپل، شامل آیفون، آیپد و مک‌بوک را هدف قرار می‌دهد.

مکانیسم یک حمله دو مرحله‌ای

بخش اول این نفوذ، از یک «خطای منطقی» در فرآیند مدیریت و اعتبارسنجی پیام‌ها توسط واتس‌اپ نشأت می‌گیرد. به گفته پژوهشگران، این نقص در مکانیسم همگام‌سازی بین دستگاه‌های متصل به حساب کاربری وجود دارد، جایی که واتس‌اپ قادر به تمایز بین پیام‌های ارسالی از دستگاه اصلی معتبر و یک منبع غیرقابل اعتماد نیست.

این شکاف امنیتی، بستری را فراهم می‌کند تا مهاجم پیامی مخرب را جعل کرده و آن را به عنوان پیامی معتبر و عبورکننده از تمامی بررسی‌های امنیتی به دستگاه قربانی ارسال نماید. با رسیدن این پیام، دومین آسیب‌پذیری فعال شده و امکان نفوذ و اجرای کدهای مخرب بر روی تلفن قربانی، بدون نیاز به کلیک یا دانلود تصویر، فراهم می‌شود.

عواقب و پیامدهای نفوذ

تسلط موفقیت‌آمیز از این طریق، دسترسی کامل و بدون محدودیت مهاجم به دستگاه قربانی را در پی خواهد داشت. این دسترسی شامل مواردی همچون دسترسی به تمامی فایل‌های شخصی ذخیره‌شده، نظارت بر تمامی فعالیت‌های کاربر، و رهگیری پیام‌های دریافتی و ارسالی می‌شود.

گفتنی است این اولین بار نیست که واتس‌اپ هدف حملات «Zero-Click» یا «بدون کلیک» قرار می‌گیرد. پیش از این نیز نمونه‌هایی مشابه از سوءاستفاده از این گونه آسیب‌پذیری‌ها، از جمله مواردی که توسط شرکت اسرائیلی «پاراگون» (Paragon) پشتیبانی می‌شد، گزارش شده بود.

راهکار مقابله و توصیه امنیتی

کارشناسان حوزه امنیت سایبری به تمامی کاربران واتس‌اپ تأکید می‌کنند که فوراً نسبت به بروزرسانی این برنامه به آخرین نسخه موجود، اقدام نمایند، چرا که شرکت مادر معمولاً این گونه آسیب‌پذیری‌های بحرانی را در به‌روزرسانی‌های متعاقب خود رفع می‌کند. همچنین بروزرسانی مداوم سیستم‌عامل تلفن همراه به عنوان یک لایه حفاظتی مضاعف، اکیداً توصیه می‌شود.