[ad_1]

تقریباً یک دهه از زمان آغاز فیس بوک برای ارائه جوایز نقدی به محققان برای یافتن و آشکار ساختن نقاط آسیب پذیر در سیستم عامل های این شرکت. همین 10 سال هم محبوبیت شبکه اجتماعی و هم مشکلات جدی را ثابت کرده است ، زیرا حریم خصوصی و اطلاعات غلط آن بر ژئوپلیتیک در سراسر جهان تأثیر گذاشته است. اما برنامه پاداش اشکال ، همیشه یک نقطه روشن است و دو جایزه از سه جایزه بزرگ خود را تا به امروز پرداخت کرده است – از جمله 60،000 دلار برای یک اشکال مسنجر فیس بوک که می تواند به یک مهاجم اجازه دهد با شما تماس بگیرد و قبل از برداشتن شروع به گوش دادن به پایان خود کنید.

اگر توسط ناتالی سیلوانوویچ از تیم تشخیص خطای Google Project Zero کشف شده باشد ، اگر مهاجم همزمان هدف را بخواند و پیامی خاص و نامرئی برای آن ارسال کند ، می تواند در Messenger برای Android مورد سو استفاده قرار گیرد. . از آنجا هکر شروع به شنیدن صدایی از پایان مکالمه قربانی می کند ، حتی اگر جواب ندهد ، هر چقدر زنگ بخورد. این اشکال تا حدودی به اپل شباهت دارد که سال گذشته در مکالمات گروهی با FaceTime ظاهر شد.

دان گورفینکل ، مدیر مهندسی امنیت فیس بوک ، گفت: “آنچه می دیدید مهاجم با شما تماس می گرفت و سپس تلفن زنگ می خورد و آنها می توانستند تا زمان تحویل گرفتن یا منقضی شدن تماس به شما گوش دهند.” “ما این مورد را قبل از استفاده سریع وصله کردیم.”

به دلایل مختلف بهره برداری از این آسیب پذیری در عمل دشوار خواهد بود. هم مهاجم و هم هدف لازم است که برای Android و قربانی وارد فیس بوک شوند هم شما در یک مرورگر وب یا در غیر این صورت به سیستم مسنجر وارد شده اید. برخلاف خطای FaceTime که یک کاربر عادی می تواند استفاده کند ، مهاجم در اینجا برای ارسال پیام دوم ویژه به ابزارهای مهندسی معکوس فنی احتیاج دارد. همچنین تماس گیرنده و گیرنده باید “دوستان” فیس بوک باشد تا حمله به نتیجه برسد ، که در مقایسه با توانایی تماس ناگهانی هر کسی ، مفید بودن آن را محدود می کند. با این حال ، با توجه به اینکه فیس بوک در حال حاضر بیش از 2.7 میلیارد کاربر فعال دارد ، می توان جمعیتی از اهداف را یافت که تقریباً همه پارامترها را داشته باشند.

سیلوانوویچ به پروژه صفر گفت: “پس از اینکه سال گذشته یک اشکال مشابه در FaceTime گزارش شد ، من شروع به تحقیق درباره وجود این نوع آسیب پذیری در سایر برنامه های کنفرانس ویدیویی کردم.” “تاکنون ، چهار اشکال در نتیجه Signal ، Mocha ، JioChat و Facebook Messenger برطرف شده است. و من هنوز در حال تحقیق درباره برنامه های دیگر هستم.”

به جای انتشار پچ در برنامه موبایل ، فیس بوک توانست زیرساخت های خاص خود را در قسمت سرور تنظیم کند تا بلافاصله نقص موجود در همه کاربران را برطرف کند. و این شرکت با اطمینان اطمینان یافت که این خطا هرگز مورد سو استفاده قرار نگرفته است ، زیرا هیچ دفترچه خاطرات حاوی شواهدی از پیام های استراتژیک نیست که مهاجمان باید ارسال کنند.

با توجه به ماهیت کار پروژه صفر است، Silvanovic می گوید آن کاستی فیس بوک افشا، که آیا آنها را پاداش برای اشتباهات یا نه.

صرف نظر از انگیزه یک شرکت کننده ، جایزه اشتباهات فیس بوک بالاترین سطح ممکن از پاداش شدت را ارائه می دهد – حتی اگر ارسال اولیه فقط پاداش کمی داشته باشد. به عنوان مثال ، این برنامه امسال 80،000 دلار را منتشر كرد ، بالاترین بازدهی كه تا به امروز برای ارائه ارائه شده است ، هزینه ای در حدود 500 دلار به خودی خود ، اما محققان این شركت را به یافتن یك نقص قابل توجه تر رهنمون كرد. آسیب پذیری در شبکه تحویل محتوای فیس بوک ، بخشی از زیرساخت خدمات داده شرکت ، در ابتدا ناچیز به نظر می رسید. اما این مسئله به یک مشکل عمیق تر اشاره داشت که در آن برخی از آدرس های اینترنتی سیستم پس از برنامه ریزی برای نشت ، همچنان در دسترس بودند و باعث ایجاد یک شکاف بالقوه برای اجرای کد از راه دور یا کنترل از راه دور CDN می شوند. این نشریه کاملاً وصله شده است و گورفینکل می گوید هیچ نشانه ای از سو استفاده از وی وجود ندارد ، اما برنده اشکال Selamet Hariyanto ، اولین مشارکت کننده ، کشف غیر منتظره ای به ظاهر غیر منتظره را دریافت کرد.

[ad_2]

منبع: sadeh-news.ir