سارع تطبيق تروكولر الشهير لحظر المكالمات إلى الإصلاح بعد أن تم تحديد عيب أمني بواسطة باحث مستقل ، وكشف بيانات المستخدم بالإضافة إلى معلومات النظام والموقع. قام الباحث بتطوير POC يظهر أنه يمكن زرع "رابط ضار" في مكان صورة الملف الشخصي لاستهداف الهجمات المحتملة على المستخدمين الآخرين الذين ينقرون على الملف الشخصي. يمكن تنفيذ هجوم بأي معرفة للمستخدم.
أكد تروكولر المشكلة لي ، موضحًا أنه "تم لفت انتباهنا مؤخرًا إلى وجود خطأ صغير في خدمات التطبيق لدينا مما سمح بتعديل ملف التعريف الخاص بالفرد بطريقة غير مقصودة. نشكر الباحث الأمني لإبلاغنا بذلك والتعاون معنا. تم إصلاح الخلل على الفور ". تم تطبيق الإصلاح على واجهات برمجة التطبيقات الأساسية داخل النظام الأساسي نفسه ، ومع ذلك ، يجب على جميع المستخدمين التأكد من قيامهم بالتحديث إلى أحدث إصدارات تطبيقات تروكولر .
تم تطوير تروكولر في السويد لإدارة تحدي مكالمات الرسائل الاقتحامية (SPAM) وفرز المتصلين غير المعروفين. المنصة متاحة عالميًا ، لكنها تحظى بشعبية خاصة في الهند ، حيث تقول الشركة إنها أصبحت أداة الاتصال الأكثر استخدامًا بعد عمالقة وسائل التواصل الاجتماعي. على الصعيد العالمي ، تفتخر الشركة بـ 500 مليون عملية تنزيل لتطبيقاتها عبر الأنظمة الأساسية و 150 مليون مستخدم نشط يوميًا.
اكتشف الباحث المقيم في الهند إيهراز أحمد الخلل ، وكشفه لوسائل الإعلام المحلية والشركة ، وانتظر الإصلاح قبل طرحه للجمهور. أوضح لي أن "الخلل يسمح للمهاجم بإدخال رابطه الضار كعنوان URL للملف الشخصي. يتم استغلال المستخدم الذي يشاهد الملف الشخصي للمهاجم عن طريق البحث أو من خلال نافذة منبثقة ". قال أحمد إنه يمكن استخدام الخلل لشن هجمات خطيرة على الأجهزة المستهدفة ، على الرغم من أن هذا لم يكن نطاق إثبات المفهوم وقد قللت الشركة من شأنه.
ما فعله أحمد من خلال POC الخاص به هو "جلب معلومات المستخدم مثل عنوان IP و User-Agent والوقت. لن يلاحظ المستخدم الذي يزور الملف الشخصي هذا لأنه يحدث جميعًا في الخلفية ، وبالنسبة للمستخدم ، سيبدو مثل أي ملف تعريف آخر ". مع الخلل الذي تم تصحيحه الآن والذي يؤثر على واجهة برمجة تطبيقات تروكولر ، فإنه يمثل تهديدًا محتملاً لجميع التطبيقات والأنظمة الأساسية.
تعرضت تروكولر لمشاكل أمنية من قبل ، بما في ذلك التحقيق في انتهاكات الخصوصية في نيجيريا والبيع المزعوم لبيانات المستخدم الهندي على الويب المظلم ، وكلاهما في وقت سابق من هذا العام. جاء ذلك في أعقاب تقارير أخرى عن الهجمات الإلكترونية والثغرات الأمنية في وقت سابق من تاريخ المنتج.
هذه المرة ، على الرغم من أن هذا يبدو عيبًا صارخًا لا ينبغي أن يكون قد وصل إلى المنصة ، يمكن الثناء على الشركة لتصرفها بسرعة. مع تحول تطبيقات المراسلة إلى حلول الدفع - مع استعداد أمثال Facebook لتشكيل السوق ، ترى تروكولر أن هذا هو التركيز الرئيسي لإيراداتها المستقبلية. على هذا النحو ، يصبح الأمن والثقة أكثر أهمية
أخبرتني الشركة "نحن بكل تواضع للترحيب بجميع المساهمات من مجتمع الأبحاث الأمنية". "لقد دخلنا في شراكة مع مجتمع من الباحثين وسنعلن قريبًا عن برنامج مكافأة حيث سنكافئ ، بصفتنا منظمة شفافة ومسؤولة ، الباحثين على مساهماتهم".
بالنظر إلى هذه المشكلة ، يبدو أن برنامج مكافأة الأخطاء لاستئصال الآخرين خطوة جيدة.
No comments:
Post a Comment