گزارش 2 باگ امنیتی و کلاهبرداری سایبری با معرفی نسخه وب WhatsApp

25 بهمن 1393 3376 بازدید

کسپرسکی

برنامه پیام رسان محبوب واتز اپ (WhatsApp) ماه گذشته نسخه تحت وب این سرویس را ارائه نمود. این سرویس به کاربران اجازه میدهد تا کاربران این برنامه یا سرویس پیام رسان، از بر روی مرورگر اینترنتی محبوب خود نیز این سرویس را فعال و استفاده نمایند. (البته این مورد فعلاً روی گوگل کروم فعال گردیده و کاربران سیستم عامل iOS نیز فعلاً از این سرویس بهره نمیبرند).

پس از ارائه این سرویس تحت وب، یک نوجوان وبلاگ نویس هندی دو باگ امنیتی این سرویس را شناسایی و به این شرکت گزارش داد. یکی از این باگهای امنیتی مربوط به همگام سازی یا Sync شدن سرویس تحت وب با اپلیکیشن موبایل است، چرا که سرویس تحت وب واتز اپ به عنوان افزونه‌ای روی سیستم کاربر نصب شده و مورد استفاده قرار میگیرد. مورد اول این است که زمانی که کاربر تصویری را پاک میکند، این تصویر از روی اپلیکیشن کاملاً حذف شده و بنوعی قابل مشاهده روی گوشی نیست ولی روی نسخه وب همچنان قابل مشاهده است که این میتواند در برخی موارد برای امنیت اطلاعات شخصی کاربران این سرویس مشکل ساز شود.

مورد دوم هم مربوط به تنظیمات محرمانگی یا Privacy Setting در این سرویس یا اپلیکیشن میشود. در بخش تنظیمات میتوانید انتخاب کنید تصاویر پروفایل شما را هیچ کس، همه، و یا تنها دوستان شما بتوانند مشاهده کنند. در صورتی که تنظیم کنید تنها دوستان شما بتوانند این تصاویر شما را مشاهده کنند، خواهید دید که روی نسخه وب تصاویر شخصی شما توسط تمامی کابران دیگر اعم از دوستان یا کاربران ناشناس قابل مشاهده خواهد بود.

Bhuyan ، این نوجوان هندی وبلاگ نویس، که از سن 14 سالگی به نوشتن مطالب گوناگونی در زمینه های فناوری اطلاعات می پرداخته است، در مطلبی که در این خصوص نوشته ذکر نموده که این مشکل را به شرکت مربوطه گزارش داده است و این شرکت در حال برطرف سازی این آسیب پذیریها میباشد.

 

محققین شرکت کسپرسکی * طی چند ماه اخیر همچنین اشاره نموده اند با توجه به محبوبیت روزافزون این پیام رسان، برخی از مجرمین سایبری اقدام به سودجویی از کاربرانی نموده که برای دانلود یا دریافت این نرم افزار آنگونه که باید احتیاط نمی نمایند.

Fabio Assolini، کارشناس امنیتی شرکت کسپرسکي، اشاره نموده است که سایتهای بسیاری با انتشار لینکهای تقلبی، کاربران را به صفحه ای جعلی و مشابه WhatsApp هدایت میکنند و نه تنها لینک مخربی را برای دانلود نسخه موبایلی این اپلیکیشن که نسخه های مخرب و آلوده است در اختیار آنان قرار میدهد، بلکه از فناوری کدها یا رمزینه های QR-Code نیز سوءاستفاده نموده و کاربرانی که فکر میکنند این روش همواره ایمن است را به دام می اندازند.

همچنین، این محقق شرکت کسپرسکی عنوان کرده است که اخیراً وبسایتهایی جعلی با دامنه های ثبت شده در برزیل، با انتشار نسخه وبی تقلبی نرم‌افزارهای آلوده و تقلبی را در اختیار کاربران قرار میدهند.

پس چگونه میتوان با امنیت کامل از اپلیکیشن واتز اپو نسخه تحت وب آن یعنی WhatsApp Web لذت ببریم؟!

-          در وهله اول میبایست یادآوری کنیم که این نسخه تحت وب در قالب یک افزونه یا extension روی مرورگر شما نصب میشود، لذا این نسخه یک نرم افزار قابل نصب نیست!

-          دوم اینکه فراموش نکنید رمزینه های QR یا QR-Codeها تنها ابزاری نوین برای هدایت کاربران به یک لینک یا صفحه مربوطه است که در این مورد هم باید حتماً جوانب احتیاط را رعایت نمود. یکی از بهترین روشها در این خصوص استفاده از ابزار اسکن ایمن کسپرسکی میباشد که در مطلب زیر معرفی شده است:

اپلیکیشن رایگان کسپرسکی برای اسکن QR Codeها + لینک دانلود

-          و مورد سوم این است که اگر میخواهید از نسخه تحت وب این سرویس استفاده نمایید مستقیماً از آدرس مربوطه که این شرکت ارائه داده است استفاده نمایید و بصورت غیرمستقیم اقدام به دریافت و نصب این افزونه یا اشتباهاً نرم افزاری ننمایی. آدرس اصلی:

https://web.whatsapp.com

 منبع: کسپرسکی آنلاین

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکی، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.