کمیته رکن چهارم – یک محقق امنیتی میگوید بر روی سرویسی که از نظر همه، امنترین سرویس جهان است، چندین آسیبپذیری حیاتی را کشف کرده است. Nomx سرویسی است که تلاش دارد نحوهی استفادهی ما از رایانامه را با راهاندازی کارگزارهای خصوصی تغییر دهد. این سرویس، امنیت مطلق و حفظ کامل حریم خصوصی را تضمین میکند. هرچند ممکن است همهی ما با شنیدن چنین توضیحاتی در خصوص یک محصول، خیلی اطمینان حاصل نکنیم چرا که برآورده کردن چنین ادعایی، کار سختی است.
به گزارش کمیته رکن چهارم،یک محقق امنیتی با نام اسکات همله، کشف کرد که در داخل جعبههای Nomx یک رسپبری پای با نرمافزارهای کاملاً قدیمی وجود دارد که اشکالات عمده و جدی در آنها نیز پیدا شده است. او اضافه کرد، کد مورد استفاده بهنحوی است که میتوان گفت نمونهی یک پیادهسازیِ بد است. این محقق اشکالات عمدهای را بر روی این محصول کشف کرد ولی میتوان گفت یکی از مهمترین آنها یک آسیبپذیری بر روی سرویس وب آن بود که با بازدید از یک وبگاه مخرب، کنترل دستگاه بهطور کامل و از راه دور در اختیار مهاجم قرار میگیرد. نتیجه این خواهد بود که مهاجم بهراحتی میتواند رایانامهها را خوانده، ارسال و حذف کند. مهاجم حتی میتواند رایانامهای با آدرس جدید ایجاد کند.
یکی از مشکلات جدی در سرویس وبِ Nomx یک آسیبپذیری جعل درخواست بین-وبگاهی (CSRF) است که در وبگاهها بسیار معمول است. اگر شما از یک وبگاه مخرب بازدید کنید، کنترل کامل حساب رایانامهی خود را که بر روی Nomx در حال اجراست، در اختیار نفوذگران قرار میدهید. براساس گزارش مادربورد، مدیرعامل شرکت Nomx این ادعاها را رد کرده و اعلام کرد در نسخههای جدید این محصول از رسپبری پای استفاده نشده است. او همچنین اعلام کرد نسخهای که همله مورد بررسی قرار داده، قدیمی و روتشده بوده است. او گفت برای اینکه این حمله عملیاتی شود، ضروری است تا قربانی، حساب رایانامهی خود را باز کرده باشد.
براساس فهرستی که همله منتشر کرده، آخرین بهروزرسانی نرمافزارهای این محصول، مربوط به سپتامبر سال ۲۰۱۶ میلادی است و قدیمیترین نرمافزار نیز در سال ۲۰۱۲ بهروزرسانی شده است. این محقق اشاره کرده بر روی بهروزرسانی خودکار این محصول و نرمافزارهای آن نیز بررسی انجام داده و متوجه شده اصلاً چنین سازوکاری در این دستگاه وجود ندارد.
منبع:
