IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

هک شدن کد تأیید نسخه تحت وب واتس‌اپ

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir whatsapp web code hacked 1
هر کاربر واتس‌اپ ممکن است از ویژگی قابلیت استفاده چند دستگاهی که سال گذشته به عنوان یک ویژگی نسخه بتا معرفی شد، اطلاع داشته باشد. از زمان معرفی آن، بسیاری از کاربران واتس‌اپ مستقیماً از واتس‌اپ مرورگر وب خود استفاده می‌کردند. قابلیت مهم این ویژگی، پشتیبانی از ۴ دستگاه است.

برای محافظت از کاربران وب واتس‌اپ در برابر کد‌های QR دستکاری شده، متا یک افزونه مرورگر جدید به نام "Code Verify" معرفی کرده است. این افزونه صحت کد وب واتس‌اپ ارائه شده به مرورگر کاربر را تأیید می‌کند. رمزگذاری End-to-end برای مدت طولانی در واتس‌اپ وجود داشته است که در آن پیام‌ها از فرستنده نهایی رمزگذاری شده و در گیرنده نهایی رمزگشایی می‌شوند.

در مورد برنامه تلفن همراه، اصالت برنامه توسط هر یک از فروشگاه‌های برنامه شخص ثالث بررسی می‌شود. اما وقتی صحبت از مرورگر‌ها می‌شود، هیچ بازبینی یا بررسی یکپارچگی وجود ندارد، بلکه مستقیماً به مرورگر کاربر ارائه می‌شود. هر سایت شخص ثالثی ممکن است در عملکرد مرورگر مداخله کند و داده‌های محرمانه را بدزدد یا یکپارچگی را مختل کند. Code Verify یک لایه امنیتی اضافی به کاربران وب WhatsApp اضافه می‌کند.

تأیید کد، چگونه کار می‌کند؟
تأیید کد یا Code Verify با Cloudflare همکاری کرده است تا به تأیید شفاف کد کمک کند. همچنین متن باز گذاشته می‌شود تا سایر شرکت‌ها نیز از آن کد برای ساخت برنامه‌های افزودنی امنیتی یا احراز هویت خود استفاده کنند.

اساساً Code Verify هر منبعی را که توسط مرورگر وارد می‌شود، بررسی می‌کند و مطمئن می‌شود که به هیچ وجه دستکاری یا جعلسازی نشده‌اند. برای انجام این کار از مفهوم «یکپارچگی منبع فرعی یا subresource integrity» استفاده می‌کند. اما یکپارچگی زیرمنبع در بسیاری از موارد وجود ندارد زیرا فقط برای فایل‌های منفرد اعمال می‌شود. Code Verify کل صفحه منبع را برای داده‌های دستکاری شده بررسی می‌کند. Cloudflare نقش مهمی در افزایش اعتماد و امنیت در این فرآیند ایفا می‌کند.

ساختار کاری Code Verify را می‌توان در نمودار زیر مشاهده نمود.

takian.ir whatsapp web code hacked 2

واتس‌اپ منبع هش کریپتوگرافی این واقعیت را ارائه کرد که بر اساس کد جاوا اسکریپت وب واتس‌اپ است. هنگامی که کاربر از افزونه Code Verify استفاده می‌کند، کد وب واتس‌اپ را با نسخه کد ارائه شده توسط WhatsApp و کد منتشر شده در Cloudflare مقایسه می‌کند. اگر هر یک از آن‌ها مطابقت نداشت یا دستکاری شده بود، Code Verify به کاربر اطلاع می‌دهد. این کار، امکان یک تأیید کد واقعی را برای کاربران فراهم می‌کند. هر زمان که کد در واتس‌اپ به روز شود، منبع رمزنگاری کد و افزونه‌های Code Verify به طور خودکار به روز می‌شوند.

چگونه از code verify استفاده کنیم؟
افزونه Code Verify در اکثر مرورگر‌های وب مانند فایرفاکس، کروم، اج و غیره موجود است. متا همچنین اضافه کرد که این افزونه هیچ داده‌ای را نظارت یا جمع‌آوری نمی‌کند و هیچ اطلاعاتی را با WhatsApp یا Cloudflare به اشتراک نمی‌گذارد. به نقل از متا، Code Verify سه سیگنال هشدار خواهد داشت.

سبز - کاملاً تأیید شده است
زرد - یکی دیگر از برنامه‌های افزودنی مرورگر با Code Verify تداخل دارد
قرمز - اعتبار سنجی به دلیل مشکلات امنیتی وجود ندارد.

takian.ir whatsapp web code hacked 3

متا تصمیم گرفته است که کد را در Github قرار دهد تا جامعه متن باز بتواند‌ایده‌های خود را برای کمک به بهبود ویژگی به اشتراک بگذارد.

متا در یک پست بیان کرد که: "ما معتقدیم که با Code Verify، فضای جدیدی را برای تأیید خودکار کد شخص ثالث به ویژه در این مقیاس ترسیم می‌کنیم. ما‌امیدواریم که سرویس‌های بیشتری از نسخه متن باز Code Verify استفاده کنند و کد وب تأیید شده شخص ثالث را به یک فرایند رایج تبدیل کنند. و در راستای انجام این مهم، ما‌امیدواریم که این مسأله کمک کند تا محافظت‌های امنیتی بیشتری را برای مردم در سراسر جهان ایجاد کند و کل صنعت سایبری را یک گام به جلو حرکت دهد".

برچسب ها: واتسپ, Cryptography, subresource integrity, QR Code, واتس‌اپ وب, WhatsApp Web, Code Verify, اج, پیام‌رسان, کد, META, متا, مرورگر, Edge, جاوا اسکریپت, واتساپ, کروم, Cloudflare, فایرفاکس, Firefox, رمزگشایی, Github, End-to-End, Chrome, Cyber Security, WhatsApp, رمزگذاری, امنیت سایبری, Cyber Attacks, حمله سایبری

نوشته شده توسط تیم خبر.

چاپ ایمیل