کیشن پیام رسان واتساپ دارای یک آسیبپذیری جدیدی است که با اکسپلویت آن میتوان به صحبت کردن همزمان دو نفر پی برد.
اخیرا راب هیتون، مهندس نرم افزار توانست آسیبپذیری جدیدی را در اپلیکیشن واتساپ شناسایی کند که به واسطهی آن میتوان به گپ همزمان بین دو نفر پی برد. وی این آسیبپذیری را با نوشتن یک افزونهی کروم که تنها چهار خط کد جاوا اسکریپت داشت اکسپلویت کرد.
setInterval(function() {
var lastSeen = $('.pane-header .chat-body .emojitext').last().text();
console.log(Math.floor(Date.now() / 1000) + ", " + lastSeen);
}, 1000);
به طور واضحتر، این آسیب پذیری به افراد اجازه میدهد تا وضعیت آنلاین یا آفلاین هر مخاطبی را لاگ کنند؛ تنها در صورتی که کاربران وضعیت آنلاین خود را پنهان نکنند و مخاطبان قادر به اطلاع از وضعیتشان باشند. توسط این آسیب پذیری و با لاگ کردن وضعیت افراد، زمانی که فردی برای خواندن یک پیام آنلاین شد و پاسخی را فرستاد، و همچنین وضعیت مخاطب وی هم به آنلاین تغییر پیدا کرد، میتوان نتیجه گرفت که این دو فرد در ارتباط هستند. در حقیقت، با لاگ کردن وضعیت آنلاین کاربران و ارتباط بین همزمان آنلاین شدن دو مخاطب میتوان به ارتباط آنها پی برد.
هیتون در این خصوص گفت:
در صورتی که هیچ راهی را برای پی بردن به ارتباط دو نفر پیدا نکردید، با استفاده از این آسیب پذیری و داشتن برنامهای برای اکسپلویت آن میتوان به الگوی استفادهی این دو کاربر از واتساپ دسترسی پیدا کرد.
راب هیتون در بلاگ خود این آسیبپذیری را با مثالی در خصوص الگوی خواب یک مخاطب تشریح کرد. یافتن الگوی وضعیت آنلاین بیش از دو کاربر در واتساپ، به نرم افزاری پیشرفتهتر نیازمند است، اما اساس برنامه با چهار خط کد جاوا اسکریپت یکسان است. اگرچه واتساپ امکان تغییر وضعیت آنلاین را به last seen میدهد اما در واقع کاربران به وضعیت اصلی خود در واتساپ دسترسی ندارند. البته این آسیب پذیری چندان هم ناآشنا نیست، سال گذشته اپلیکیشن پیام رسان فیسبوک نیز دارای ضعف مشابه بود.