ព័ត៌មាន

កំហុសនៅក្នុងកម្មវិធី WhatsApp នេះអនុញ្ញាតអោយក្រុមអ្នកវាយប្រហារជាច្រើនអាចចូលទៅក្នុង Files នៅលើកុំព្យូទ័ររបស់អ្នកបាន

Tuesday, ទី11 February, ឆ្នាំ2020 15:02 pm 0

អ្នកស្រាវជ្រាវសុវត្ថិភាពតាមអ៊ីនធឺរណិតនៅថ្ងៃនេះបានបង្ហាញព័ត៌មានលំអិតបច្ចេកទេសនៃភាពងាយរងគ្រោះខ្ពស់ដែលគាត់បានរកឃើញនៅក្នុង WhatsApp ដែលអាចធ្វើឱ្យអ្នកវាយប្រហារពីចម្ងាយអាចធ្វើឱ្យខូចដល់សុវត្ថិភាពអ្នកប្រើប្រាស់រាប់ពាន់លាននាក់តាមវិធីផ្សេងៗគ្នា។នៅពេលបញ្ចូលជាមួយគ្នា បញ្ហាដែលបានរាយការណ៍អាចជួយឱ្យពួកអនាមិកអាចលួចយកឯកសារពីកុំព្យូទ័រ Windows ឬ Mac របស់ជនរងគ្រោះពីចម្ងាយដោយប្រើកម្មវិធី WhatsApp សម្រាប់កំព្យូទ័រលើតុដោយគ្រាន់តែផ្ញើសារដែលមានលក្ខណៈពិសេស។

image

តាមរយៈការរកឃើញដោយអ្នកស្រាវជ្រាវ PerimeterX លោក Gal Weizman និងត្រូវបានតាមដានថាជា CVE-២០១៩-១៨៤២៦ គុណវិបត្តិមានទីតាំងពិសេសនៅក្នុង WhatsApp Web ដែលជាជំនាន់គេហទំព័រនៃកម្មវិធីផ្ញើសារដែលពេញនិយមបំផុតនៅលើពិភពលោកដែលផ្តល់ថាមពលដល់កម្មវិធី Electron-based cross-platform សម្រាប់ប្រព័ន្ធប្រតិបត្តិការកំព្យូទ័រលើតុ។នៅក្នុងអត្ថបទប្លុកមួយដែលត្រូវបានចេញផ្សាយនៅថ្ងៃនេះ Weizman បានបង្ហាញថា WhatsApp Web ងាយនឹងទទួលរងនូវកំហុសឆ្គងដែលអាចបង្កឱ្យមានការវាយប្រហារឆ្លងគេហទំព័រដែលអាចបណ្តាលមកពីការផ្ញើសារដែលត្រូវបានផ្ញើទៅអ្នកប្រើប្រាស់ WhatsApp គោលដៅ។ 

image

ក្នុងករណីដែលជនរងគ្រោះមិនបានរំពឹងទុកបើកមើលសារដែលមានគំនិតអាក្រក់នៅលើកម្មវិធីរុករកនោះ កំហុសអាចអនុញ្ញាតឱ្យអ្នកវាយប្រហារប្រតិបត្តិកូដបំពានតាមបរិបទនៃដែនគេហទំព័ររបស់ WhatsApp ។ចំណែកឯនៅពេលដែលមើលតាមរយៈកម្មវិធីកុំព្យូទ័រដែលងាយរងគ្រោះ លេខកូដព្យាបាទដំណើរការលើប្រព័ន្ធរបស់អ្នកទទួលក្នុងបរិបទនៃកម្មវិធីងាយរងគ្រោះ។

លើសពីនេះទៅទៀត គោលការណ៍សុវត្ថិភាពមាតិកាដែលបានកំណត់រចនាសម្ព័ន្ធមិនត្រឹមត្រូវនៅលើគេហទំព័រ WhatsApp ក៏អនុញ្ញាតឱ្យអ្នកស្រាវជ្រាវផ្ទុកបន្ទុក XSS នៃប្រវែងណាមួយដោយប្រើ iframe ពីគេហទំព័រគ្រប់គ្រងអ្នកវាយប្រហារដាច់ដោយឡែកនៅលើអ៊ីនធឺរណិត។ប្រសិនបើ CSP ត្រូវបានកំណត់រចនាសម្ព័ន្ធបានល្អ ថាមពលដែលទទួលបានពី XSS នឹងមានទំហំតូចជាងមុន។ អ្នកស្រាវជ្រាវបាននិយាយថាការដែលអាចចៀសផុតពីការកំណត់រចនាសម្ព័ន្ធ CSP អាចឱ្យអ្នកវាយប្រហារលួចយកព័ត៌មានដ៏មានតម្លៃពីជនរងគ្រោះ ផ្ទុកបន្ទុកខាងក្រៅយ៉ាងងាយស្រួលនិងច្រើនទៀត។ 

ដូចដែលបានបង្ហាញនៅក្នុងរូបថតអេក្រង់ខាងលើ Weizman បានបង្ហាញពីការវាយប្រហារឯកសារអានពីចម្ងាយនៅលើ WhatsApp ដោយចូលប្រើមាតិកាឯកសារម៉ាស៊ីនពីកុំព្យូទ័ររបស់ជនរងគ្រោះ។ក្រៅពីនេះ កំហុសនៃការប្តូរទិសអាចត្រូវបានប្រើដើម្បីរៀបចំបដា URL ការមើលជាមុននៃដែន WhatsApp បង្ហាញដល់អ្នកទទួលនៅពេលដែលពួកគេទទួលបានសារដែលមានតំណភ្ជាប់និងបញ្ឆោតអ្នកប្រើឱ្យធ្លាក់ចូលការវាយប្រហារ។Weizman បានរាយការណ៍អំពីបញ្ហាទាំងនេះទៅក្រុមសន្តិសុខ Facebook កាលពីឆ្នាំមុនដែលបន្ទាប់មកពួកគេបានធ្វើខុសលើគុណវិបត្តិដែលបានចេញផ្សាយកំណែបច្ចុប្បន្នភាពលើកុំព្យូទ័ររបស់ខ្លួនហើយក៏បានផ្តល់រង្វាន់ដល់ Weizman ចំនួន ១២.៥០០ដុល្លារក្រោមកម្មវិធីប្រាក់រង្វាន់កំហុសរបស់ក្រុមហ៊ុន។

Tags: