چند ماه قبل، سرویس پیام‌رسان شرکت وریزون دارای یک آسیب‌پذیری بود که به‌راحتی می‌شد از آن برای اجرای حمله‌ی اسکریپت بین-وب‌گاهی (XSS) با استفاده از پیامک بهره‌برداری کرد. این سرویس بر روی تمامی دستگاه‌های تلفن همراه و رومیزی بدون هیچ‌گونه تداخلی قابل اجرا بوده و می‌توان پیام‌های متنی و رسانه‌ای با آن ارسال کرد.

یک محقق امنیتی قصد داشت ویژگی پیامک را در این سرویس مورد تجزیه و تحلیل قرار دهد و متوجه شود هر آدرس URL که از طریق این سرویس ارسال می‌شود، چگونه پردازش خواهد شد. او متوجه شد تنها با اضافه کردن یک نشانه‌ی نقطه-ویرگول به آدرس URL می‌توان ویژگی HREF را درهم شکست و کدهای جاوا اسکریپت دلخواه را بر روی دستگاه اجرا کرد.

به گزارش این محقق امنیتی، تنها چیزی که مهاجم نیاز دارد، ارسال یک پیامک جعلی با محتوای خاص به سمت دستگاه قربانی است و در ادامه می‌تواند کنترل کامل نشست قربانی را در دست بگیرد. وقتی قربانی بر روی این پیام مخرب کلیک می‌کند، مهاجم می‌تواند عملیات مختلفی را انجام دهد. از جمله‌ی این عملیات می‌توان ارسال پیامک در پشت پرده و شنود پیام‌ها را نام برد.

این محقق امنیتی در اواسط ماه نوامبر سال ۲۰۱۶ میلادی، کد اثبات مفهومی را به همراه یک سری ویدئو و اسکرین‌شات برای وریزون ارسال کرد. این شرکت در عرض چند هفته توانست این آسیب‌پذیری را برطرف کند ولی جزئیات این آسیب‌پذیری، یک‌شنبه‌ی همین هفته منتشر شد. سال گذشته محققان یک آسیب‌پذیری حیاتی را در سرویس رایانامه‌ی این شرکت کشف کردند که مهاجم با بهره‌برداری از این آسیب‌پذیری می‌توانست رایانامه‌های قربانی را به سمت آدرس‌های دلخواه خود ارسال کند.

منبع: asis

درباره نماد امنیت وب

کانال اخبار فناوری اطلاعات نماد امن

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

حملات XSS بر روی سرویس پیام‌رسان وریزون با استفاده از پیامک‌ها

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *