دسترسی به پیام‌های صوتی فیس بوک با یک هک ساده

کمیته رکن چهارم – اکثر مردم هنگام استفاده از برنامه‌های پیام رسان از تایپ کردن پیام‌های طولانی متنفرند و به لطف قابلیت ارسال پیام‌های صوتی در واتس آپ و فیس بوک مسنجر، چت کردن راحت شده و دیگر نیازی به تایپ پیام‌های متنی طولانی نیست.

به گزارش کمیته رکن چهارم،اگر شما جزو آن دسته از کاربران فیس بوک مسنجر هستید که ارسال فایل‌های صوتی را به پیام‌های متنی ترجیح می‌دهید، بدانید که در معرض حمله مرد میانی (MITM) قرار دارید و پیام‌های صوتی خصوصی شما ممکن است به راحتی به دست هکرها بیفتد.
خبر نگران کننده تر این است که هنوز این نقص امنیتی توسط غول رسانه اجتماعی یعنی فیس بوک اصلاح و برطرف نشده است.
محقق امنیتی مصری به نام «محمد باسط» این نقص را شناسایی و نحوه راه اندازی این حمله را این چنین شرح داده است: «هر زمان که شما یک پیام صوتی (پیام تصویری) را برای ارسال به دوستان خود ضبط می‌کنید، آن کلیپ بر روی سرور CDN فیس‌بوک آپلود می‌شود؛ به عنوان مثال HTTPS: //z-1-cdn.fbsbx.com ) و از آنجا همان فایل صوتی برای گیرنده ارسال می‌گردد. ضمن اینکه در اختیار فرستنده نیز قرار دارد. در حال حاضر، هر مهاجم که به شبکه شما دسترسی داشته باشد، با اجرای حمله MITM با SSL Strip می‌تواند لینک‌های مهم از جمله توکن احراز هویت مخفی تعبیه شده در URL و تمام فایل‌های صوتی رد و بدل شده بین فرستنده و گیرنده را استخراج کند.

سپس مهاجم با دانگرید این لینک‌ها از HTTPS به HTTP بدون نیاز به هیچ احراز هویتی می‌تواند به دانلود مستقیم آن فایل‌های صوتی بپردازد.
مشکل اصلی این است که سرور CDN فیس بوک از سیاست HTTP Strict Transport Security (HSTSS) استفاده نمی‌کند بلکه آن مرورگر یا کاربر را تنها از طریق ارتباطات HTTPSS به برقراری ارتباط با سرور مجبور و به وب سایت‌ها برای محافظت در برابر حملات دانگرید پروتکل کمک می‌کند.
مشکل دوم عدم احراز هویت مناسب در فیس بوک است. مثلاً یک فایل به اشتراک گذاشته بین دو کاربر فیس بوک نباید برای کسی غیر از خود آن‌ها قابل دسترس باشد.»
باسط با گزارش این نقص به فیس بوک نه تنها هیچ پاداشی دریافت نکرده بلکه هنوز این شرکت نیز درصدد رفع عیب مذکور برنیامده است.

منبع:هکرنیوز