این برنامه دوستیابی ممکن است داده های بسیار خصوصی را فاش کرده باشد: اکنون حساب خود را بررسی کنید

برنامه‌های دوستیابی مجموعه‌ای از اطلاعات عمیقاً شخصی هستند که افراد برای ملاقات با شریک جدید یا موارد دیگر به آنجا می‌روند. امنیت ضروری است، زیرا افراد اطلاعات خصوصی و مکالمات شخصی را به اشتراک می گذارند. نقض داده ها بر برنامه های دوستیابی همیشه عواقب شدیدی دارد.

خلاصه عناوین

• چه اتفاقی برای برنامه دوستیابی Feeld افتاد؟

• در صورت سوء استفاده از آسیب پذیری ها، هکرها چه اطلاعاتی می توانند به دست آورند؟

• آیا Feeld آسیب پذیری ها را برطرف کرده است؟

نکات کلیدی

• آسیب پذیری های Feeld به هکرها اجازه می دهد تا به راحتی به اطلاعات حساس کاربر دسترسی داشته باشند.
• هکرها می‌توانند از این آسیب‌پذیری‌ها برای سرقت عکس‌ها، پیام‌ها و حتی کنترل پروفایل‌های کاربر سوءاستفاده کنند.
• Feeld ادعا می کند که اشکالات را برطرف کرده است، اما همچنان احتیاط توصیه می شود.

برنامه‌های دوستیابی مجموعه‌ای از اطلاعات عمیقاً شخصی هستند که افراد برای ملاقات با شریک جدید یا موارد دیگر به آنجا می‌روند. امنیت ضروری است، زیرا افراد اطلاعات خصوصی و مکالمات شخصی را به اشتراک می گذارند. نقض داده ها بر برنامه های دوستیابی همیشه عواقب شدیدی دارد.

و این دقیقاً همان چیزی است که برای برنامه دوستیابی Feeld اتفاق افتاد و به طور بالقوه داده های میلیون ها کاربر خود را از طریق یک سری از آسیب پذیری های کشف شده توسط شرکت تحقیقاتی امنیتی Fortbridge به خطر انداخت.

چه اتفاقی برای برنامه دوستیابی Feeld افتاد؟

Fortbridge، یک شرکت تست نفوذ، وظیفه بررسی گسترده اپلیکیشن دوستیابی Feeld را بر عهده داشت تا نقاط ضعف و آسیب پذیری هایی را که می تواند اطلاعات کاربران را در معرض دید قرار دهد، بررسی کند. وبلاگ گسترده فورتبریج در مورد این فرآیند، هشت آسیب پذیری را با پتانسیل سرقت داده ها نشان داد.

توجه به این نکته مهم است که در حالی که فورتبریج یک سری مسائل را پیدا کرد، آسیب پذیری ها در طی یک فرآیند هک اخلاقی کشف شدند. هیچ نشانه ای وجود ندارد که هکرهای مخرب از این آسیب پذیری ها استفاده کرده باشند.

در اوایل سال 2024، فورتبریج آزمایش نفوذ اپلیکیشن دوستیابی Feeld را آغاز کرد. آنها به سرعت دریافتند که دسترسی به اطلاعاتی که نباید به آنها دسترسی داشته باشند چقدر آسان است. در 6 مارس، فورتبریج یافته های خود را به Feeld ارائه کرد. قبل از انتشار یک پست وبلاگی در مورد آسیب‌پذیری‌های زیاد، Feeld از Fortbridge خواست تا انتشار را به تاخیر بیندازد تا بتواند باگ‌های نرم‌افزاری را برطرف کند. در 16 آگوست، Feeld به فورتبریج نوشت که اشکالات برطرف شده است و ممکن است پست وبلاگ را منتشر کنند.

با این حال، پس از صحبت مستقیم با Feeld، متوجه شدیم که آسیب‌پذیری‌ها در اوایل می 2024 برطرف شده‌اند، اما یک مشکل ارتباطی وجود داشت. یکی از سخنگویان Feeld در گفتگو با MakeUseOf گفت:

ما مسئولیت کامل این نقص ارتباطات را بر عهده می‌گیریم، که در داخل بررسی می‌شود تا خط‌مشی‌های ما در حال حرکت رو به جلو بررسی و اصلاح شود، تا اطمینان حاصل شود که همیشه در حال ارتباط هستیم و این کار را به سرعت انجام می‌دهیم. از ماه مارس، تغییراتی با تیم‌های مهندسی ما اعمال شده است تا اطمینان حاصل شود که ارتباطات آتی با جامعه هک اخلاقی ما به موقع و دقیق است. ما می‌خواهیم به اعضای خود اطمینان دهیم که هیچ مدرکی دال بر وقوع هرگونه نقض یا دسترسی به اطلاعات خصوصی اعضا وجود ندارد. بازیگران بد برای اینکه خیلی واضح باشد: آسیب‌پذیری‌های شناسایی شده در اوایل سال جاری توسط فورتبریج برطرف شده و توسط شخص ثالث قابل اعتماد تأیید شده است، و گزارش هیچ تهدیدی برای نمایه‌های اعضا یا امنیت اطلاعات شخصی آنها ندارد.

علیرغم رفع آسیب‌پذیری‌ها، Feeld در یادداشت‌های تاریخچه نسخه‌های خود در App Store یا Play Store چیزی در مورد به‌روزرسانی‌های امنیتی ذکر نکرده است.

Feeld توضیح داد که از آنجایی که بیشتر این رفع‌ها بر روی باطن خدمات متمرکز شده‌اند، آسیب‌پذیری‌ها و اصلاحات در تاریخچه نسخه‌های جلویی گنجانده نشده‌اند. این قابل درک است، اما من همچنان معتقدم که مسائلی از این قبیل باید افشا می شد.

در صورت سوء استفاده از آسیب پذیری ها، هکرها چه اطلاعاتی می توانند به دست آورند؟

باگ های Feeld دسترسی هکرها به اطلاعات را با وجود نداشتن مجوز برای این کار آسان کرده است. این آسیب‌پذیری، کنترل دسترسی شکسته نامیده می‌شود و یکی از رایج‌ترین و مخرب‌ترین آسیب‌پذیری‌های موجود در برنامه‌ها است.

با سوء استفاده از این آسیب‌پذیری، یک هکر می‌تواند به اطلاعات حساس کاربر مانند عکس‌ها، فیلم‌ها، پیام‌ها، سن، تمایلات جنسی و موقعیت مکانی دسترسی پیدا کند.

شگفت‌انگیزترین چیز این است که فورتبریج برای دسترسی به داده‌ها از نرم‌افزار امنیتی و شبکه‌ای اولیه استفاده می‌کند. برای دسترسی به اطلاعات، محققان فورتبریج از ابزار پروکسی شبکه Burp Suite برای رهگیری داده های ارسال شده از سرورهای Feeld استفاده کردند. پس از رهگیری، محققان دریافتند که دسترسی به مجموعه‌ای از اطلاعات که نباید در دسترس می‌بود، بسیار ساده است، از داده‌های حساس کاربر گرفته تا پیام‌ها و تصاویر خصوصی و استفاده از داده‌های رهگیری شده برای ورود بیشتر به حساب.

همراه با دسترسی به عکس‌ها و ویدیوها (حتی اگر قرار بود این عکس‌های حساس بعد از ۵ تا ۱۵ ثانیه ناپدید شوند)، محققان همچنین می‌توانستند پیام‌های بین کاربران را بخوانند و از طرف کاربر پیام ارسال کنند و به آن‌ها کنترل کامل نمایه‌های کاربران را بدهند. در صحبت با The Register، شان رایت، متخصص امنیت برنامه، کیفرخواست اهانت آمیزی درباره امنیت اپلیکیشن Feeld ارائه کرد:

بسیاری از اطلاعات استفاده شده در این برنامه فوق العاده شخصی خواهد بود. این آسیب‌پذیری‌ها می‌توانند توسط همه انواع بازیگران شرور، از یک سابق حسود، تا یک شکارچی، تا جنایتکاران سازمان‌یافته که از کلاهبرداری‌های باج‌گیری استفاده می‌کنند، استفاده کنند.

توانایی خواندن پیام‌ها و پیوست‌های دیگران به ویژه نگران‌کننده است. اینها فوق العاده شخصی و خصوصی خواهند بود. بدتر از همه، به نظر نمی رسد که بتوانید از این آسیب پذیری ها سوء استفاده کنید.

آیا Feeld آسیب پذیری ها را برطرف کرده است؟

به MakeUseOf تأیید کرد که آسیب‌پذیری‌های آن در اوایل می ۲۰۲۴ برطرف شده و توسط شخص ثالث تأیید شده است. وقفه ناگوار ارتباطی، آسیب‌پذیری‌های Feeld را در اختیار عموم قرار داد، اما ما مطمئن هستیم که آنها برطرف شده‌اند.

با این حال، شرکت‌ها باید در مورد آسیب‌پذیری‌هایی که کاربران را تحت تأثیر قرار می‌دهند، شفاف باشند، به‌ویژه زمانی که با اطلاعات شخصی حساس سروکار دارند. هیچ نشانه‌ای وجود ندارد که داده‌های Feeld نقض شده است – اما اگر چنین بود، این داستان بسیار متفاوت بود و آسیب‌پذیری‌ها وجود داشتند که مورد سوء استفاده قرار می‌گرفتند. این فقط خوش شانس است که آنها نبودند، و یک تیم متعصب ابتدا به آنجا رسیدند.

اگر نگران دسترسی هکرها به اطلاعات شما هستید، توصیه می کنیم برنامه را حذف کرده و از یکی از بسیاری از برنامه های دوستیابی موجود در بازار استفاده کنید.

منبع مقاله