برای مشاهده لیست علاقه مندی ها وارد شوید!

مشاهده محصولات فروشگاه
0

هیچ محصولی در سبد خرید نیست.

باگ Waze و امکان دسترسی به هویت کاربران

دسته بندی :بلاگ 2 نوامبر 2020 علیرضا 235

آسیب‌پذیری جدیدی در نرم‌افزار Waze شناسایی شده است که به هکرها امکان شناسایی هویت کاربران را می دهد. بر اساس گزارش منتشر شده در وب سایت Autoevolution.com، این آسیب‌پذیری توسط یک مهندس امنیت سایبری به نام “Gasper” شناسایی شده است. وی در هنگام استفاده از رابط کاربری این برنامه (API) متوجه شده می‌تواند به آن درخواستی را ارسال کند که علاوه بر نمایش مختصات فعلی خود، مختصات سایر رانندگان نزدیک به او را هم اعلام کند.

داده‌هایی که در اختیار وی قرار گرفته اند می توانند شناسه آیکن ‌های خاصی که هر کدام از آنها یک راننده را نشان می دهد بر روی نقشه مشخص‌ کنند. لازم به ذکر است که با گذشت زمان، این شناسه‌ها تغییری نمی‌کنند. در نتیجه هر شخصی که از این آسیب ‌پذیری سوءاستفاده کند می‌تواند یک کاربر خاص را در کل مسیر حرکتش تحت تعقیب قرار دهد.

Gasper می‌گوید: «من تصمیم گرفتم یک راننده خاص را دنبال کنم. او پس از طی مسیری کوتاه، در مکانی متفاوت توقف کرد. من ویرایشگر کد را کپی کرده و یک افزونه کروم ساختم که از chrome.devtools برای دریافت پاسخ‌های JSON از این API استفاده می‌کند. در نهایت توانستم مسیر حرکت کاربران در مناطق مختلف شهری یا یک شهر خاص را دنبال کنم».

او در تحقیقات بعدی خود متوجه شد مهاجمان می‌توانند حتی نام واقعی کاربرانی که با این برنامه کاربردی در تعامل بوده اند را نیز استخراج کنند. Gasper در این خصوص گفته که: «من متوجه شدم اگر کاربری وجود یک مانع را در جاده اعلام کند یا به گشت پلیس گزارشی داده باشد، API نام کاربری و شناسه وی را به همه کاربرانی که از آن مسیر عبور کنند، انتقال می‌دهد. در حالی که این برنامه مجوز نمایش این داده‌ ها را ندارد. پاسخی که API به درخواست دریافت اطلاعات کاربران توسط سایرین می دهد شامل نام کاربری، شناسه، محل وقوع رویداد و حتی زمان اعلام آن است».

شرکت گوگل پس از اطلاع از این آسیب پذیری، آن را برطرف کرده است. یکی از کارشناسان امنیتی در این رابطه می گوید: «در هر سازمانی، آسیب‌پذیری‌ های مبتنی بر API به وفور مشاهده می‌شود و این آسیب‌پذیری‌ ها فرصت سوءاستفاده آسان را برای مهاجمان فراهم می‌کنند. به همین دلیل، سازمان‌ ها همواره باید بر APIهای مورد استفاده خودشان نظارت کامل داشته باشند».

سازمان‌ها همواره باید برای این سؤال های ساده اما مهم، پاسخ مناسبی داشته باشند: ما چه تعداد API داریم و مالک آنها کیست؟ آیا این APIها کنترل دسترسی و سازوکارهای احراز هویت لازم را دارند؟ و در نهایت اینکه این APIها چه نوع داده‌ هایی را منتقل می‌کنند؟

 

منبع: infosecurity-magazine



علیرضا

راه آسان‌تری برای ارتباط با کاربران‌مان پیدا کرده‌ایم :) عضویت در کانال

مطالب زیر را حتما بخوانید:

قوانین ارسال دیدگاه در سایت

  • چنانچه دیدگاهی توهین آمیز باشد و متوجه اشخاص مدیر، نویسندگان و سایر کاربران باشد تایید نخواهد شد.
  • چنانچه دیدگاه شما جنبه ی تبلیغاتی داشته باشد تایید نخواهد شد.
  • چنانچه از لینک سایر وبسایت ها و یا وبسایت خود در دیدگاه استفاده کرده باشید تایید نخواهد شد.
  • چنانچه در دیدگاه خود از شماره تماس، ایمیل و آیدی تلگرام استفاده کرده باشید تایید نخواهد شد.
  • چنانچه دیدگاهی بی ارتباط با موضوع آموزش مطرح شود تایید نخواهد شد.

    لینک کوتاه:
    0