دسته بندی ها

برای مشاهده لیست علاقه مندی ها وارد شوید!

مشاهده محصولات فروشگاه
0

هیچ محصولی در سبد خرید نیست.

باگ Waze و امکان دسترسی به هویت کاربران

دسته بندی :بلاگ 2 نوامبر 2020

آسیب‌پذیری جدیدی در نرم‌افزار Waze شناسایی شده است که به هکرها امکان شناسایی هویت کاربران را می دهد. بر اساس گزارش منتشر شده در وب سایت Autoevolution.com، این آسیب‌پذیری توسط یک مهندس امنیت سایبری به نام “Gasper” شناسایی شده است. وی در هنگام استفاده از رابط کاربری این برنامه (API) متوجه شده می‌تواند به آن درخواستی را ارسال کند که علاوه بر نمایش مختصات فعلی خود، مختصات سایر رانندگان نزدیک به او را هم اعلام کند.

داده‌هایی که در اختیار وی قرار گرفته اند می توانند شناسه آیکن ‌های خاصی که هر کدام از آنها یک راننده را نشان می دهد بر روی نقشه مشخص‌ کنند. لازم به ذکر است که با گذشت زمان، این شناسه‌ها تغییری نمی‌کنند. در نتیجه هر شخصی که از این آسیب ‌پذیری سوءاستفاده کند می‌تواند یک کاربر خاص را در کل مسیر حرکتش تحت تعقیب قرار دهد.

Gasper می‌گوید: «من تصمیم گرفتم یک راننده خاص را دنبال کنم. او پس از طی مسیری کوتاه، در مکانی متفاوت توقف کرد. من ویرایشگر کد را کپی کرده و یک افزونه کروم ساختم که از chrome.devtools برای دریافت پاسخ‌های JSON از این API استفاده می‌کند. در نهایت توانستم مسیر حرکت کاربران در مناطق مختلف شهری یا یک شهر خاص را دنبال کنم».

او در تحقیقات بعدی خود متوجه شد مهاجمان می‌توانند حتی نام واقعی کاربرانی که با این برنامه کاربردی در تعامل بوده اند را نیز استخراج کنند. Gasper در این خصوص گفته که: «من متوجه شدم اگر کاربری وجود یک مانع را در جاده اعلام کند یا به گشت پلیس گزارشی داده باشد، API نام کاربری و شناسه وی را به همه کاربرانی که از آن مسیر عبور کنند، انتقال می‌دهد. در حالی که این برنامه مجوز نمایش این داده‌ ها را ندارد. پاسخی که API به درخواست دریافت اطلاعات کاربران توسط سایرین می دهد شامل نام کاربری، شناسه، محل وقوع رویداد و حتی زمان اعلام آن است».

شرکت گوگل پس از اطلاع از این آسیب پذیری، آن را برطرف کرده است. یکی از کارشناسان امنیتی در این رابطه می گوید: «در هر سازمانی، آسیب‌پذیری‌ های مبتنی بر API به وفور مشاهده می‌شود و این آسیب‌پذیری‌ ها فرصت سوءاستفاده آسان را برای مهاجمان فراهم می‌کنند. به همین دلیل، سازمان‌ ها همواره باید بر APIهای مورد استفاده خودشان نظارت کامل داشته باشند».

سازمان‌ها همواره باید برای این سؤال های ساده اما مهم، پاسخ مناسبی داشته باشند: ما چه تعداد API داریم و مالک آنها کیست؟ آیا این APIها کنترل دسترسی و سازوکارهای احراز هویت لازم را دارند؟ و در نهایت اینکه این APIها چه نوع داده‌ هایی را منتقل می‌کنند؟

 

منبع: infosecurity-magazine



برچسب‌ها:, , , , , , ,
راه آسان‌تری برای ارتباط با کاربران‌مان پیدا کرده‌ایم :) عضویت در کانال

مطالب زیر را حتما بخوانید:

قوانین ارسال دیدگاه در سایت

  • چنانچه دیدگاهی توهین آمیز باشد و متوجه اشخاص مدیر، نویسندگان و سایر کاربران باشد تایید نخواهد شد.
  • چنانچه دیدگاه شما جنبه ی تبلیغاتی داشته باشد تایید نخواهد شد.
  • چنانچه از لینک سایر وبسایت ها و یا وبسایت خود در دیدگاه استفاده کرده باشید تایید نخواهد شد.
  • چنانچه در دیدگاه خود از شماره تماس، ایمیل و آیدی تلگرام استفاده کرده باشید تایید نخواهد شد.
  • چنانچه دیدگاهی بی ارتباط با موضوع آموزش مطرح شود تایید نخواهد شد.

    دانلود و اطلاعات بیشتر
    • جهت دانلود سریع از VPN استفاده نکنید..
    • تمامی فایل ها قبل از درج بررسی شده اند.
    • لینک دانلود از دو سرور مختلف است.
    • امکان قطع دانلود فایل ها وجود دارد.
    • جهت دانلود از IDM استفاده کنید..
    • در صورت نیاز با ما تماس بگیرید.

    اندازه فایل

    نوع فایل
    لینک کوتاه:

    ایران کرج - گوهردشت - خیابان 4 - ساختمان الماس

    0902-9494424

    info{@}testnofoz.com
    خدمات مشتریان
    مرکز تماس مشتریان
    logo-samandehi

    باگ باونتی | هلوکس | ایرونی استور | پوزیشن هاب | حافظ خودرو | دکتر وب دیزاین

    تست نفوذ – فروشگاه ابزار های هک و امنیت | باگ بانتی

    © کليه حقوق محصولات و محتوا متعلق به شرکت تیم سار ” تست نفوذ ” می باشد و هر گونه کپی برداری از محتوا و محصولات سایت پیگرد قانونی دارد.

     
    0