برنامههای دوستیابی مجموعهای از اطلاعات عمیقاً شخصی هستند که افراد برای ملاقات با شریک جدید یا موارد دیگر به آنجا میروند. امنیت ضروری است، زیرا افراد اطلاعات خصوصی و مکالمات شخصی را به اشتراک می گذارند. نقض داده ها بر برنامه های دوستیابی همیشه عواقب شدیدی دارد.
خلاصه عناوین
- چه اتفاقی برای برنامه دوستیابی Feeld افتاد؟
- در صورت سوء استفاده از آسیب پذیری ها، هکرها چه اطلاعاتی می توانند به دست آورند؟
- آیا Feeld آسیب پذیری ها را برطرف کرده است؟
نکات کلیدی
- آسیب پذیری های Feeld به هکرها اجازه می دهد تا به راحتی به اطلاعات حساس کاربر دسترسی داشته باشند.
- هکرها میتوانند از این آسیبپذیریها برای سرقت عکسها، پیامها و حتی کنترل پروفایلهای کاربر سوءاستفاده کنند.
- Feeld ادعا می کند که اشکالات را برطرف کرده است، اما همچنان احتیاط توصیه می شود.
برنامههای دوستیابی مجموعهای از اطلاعات عمیقاً شخصی هستند که افراد برای ملاقات با شریک جدید یا موارد دیگر به آنجا میروند. امنیت ضروری است، زیرا افراد اطلاعات خصوصی و مکالمات شخصی را به اشتراک می گذارند. نقض داده ها بر برنامه های دوستیابی همیشه عواقب شدیدی دارد.
و این دقیقاً همان چیزی است که برای برنامه دوستیابی Feeld اتفاق افتاد و به طور بالقوه داده های میلیون ها کاربر خود را از طریق یک سری از آسیب پذیری های کشف شده توسط شرکت تحقیقاتی امنیتی Fortbridge به خطر انداخت.
چه اتفاقی برای برنامه دوستیابی Feeld افتاد؟
Fortbridge، یک شرکت تست نفوذ، وظیفه بررسی گسترده اپلیکیشن دوستیابی Feeld را بر عهده داشت تا نقاط ضعف و آسیب پذیری هایی را که می تواند اطلاعات کاربران را در معرض دید قرار دهد، بررسی کند. وبلاگ گسترده فورتبریج در مورد این فرآیند، هشت آسیب پذیری را با پتانسیل سرقت داده ها نشان داد.
توجه به این نکته مهم است که در حالی که فورتبریج یک سری مسائل را پیدا کرد، آسیب پذیری ها در طی یک فرآیند هک اخلاقی کشف شدند. هیچ نشانه ای وجود ندارد که هکرهای مخرب از این آسیب پذیری ها استفاده کرده باشند.
در اوایل سال 2024، فورتبریج آزمایش نفوذ اپلیکیشن دوستیابی Feeld را آغاز کرد. آنها به سرعت دریافتند که دسترسی به اطلاعاتی که نباید به آنها دسترسی داشته باشند چقدر آسان است. در 6 مارس، فورتبریج یافته های خود را به Feeld ارائه کرد. قبل از انتشار یک پست وبلاگی در مورد آسیبپذیریهای زیاد، Feeld از Fortbridge خواست تا انتشار را به تاخیر بیندازد تا بتواند باگهای نرمافزاری را برطرف کند. در 16 آگوست، Feeld به فورتبریج نوشت که اشکالات برطرف شده است و ممکن است پست وبلاگ را منتشر کنند.
با این حال، پس از صحبت مستقیم با Feeld، متوجه شدیم که آسیبپذیریها در اوایل می 2024 برطرف شدهاند، اما یک مشکل ارتباطی وجود داشت. یکی از سخنگویان Feeld در گفتگو با MakeUseOf گفت:
ما مسئولیت کامل این نقص ارتباطات را بر عهده میگیریم، که در داخل بررسی میشود تا خطمشیهای ما در حال حرکت رو به جلو بررسی و اصلاح شود، تا اطمینان حاصل شود که همیشه در حال ارتباط هستیم و این کار را به سرعت انجام میدهیم. از ماه مارس، تغییراتی با تیمهای مهندسی ما اعمال شده است تا اطمینان حاصل شود که ارتباطات آتی با جامعه هک اخلاقی ما به موقع و دقیق است. ما میخواهیم به اعضای خود اطمینان دهیم که هیچ مدرکی دال بر وقوع هرگونه نقض یا دسترسی به اطلاعات خصوصی اعضا وجود ندارد. بازیگران بد برای اینکه خیلی واضح باشد: آسیبپذیریهای شناسایی شده در اوایل سال جاری توسط فورتبریج برطرف شده و توسط شخص ثالث قابل اعتماد تأیید شده است، و گزارش هیچ تهدیدی برای نمایههای اعضا یا امنیت اطلاعات شخصی آنها ندارد.
علیرغم رفع آسیبپذیریها، Feeld در یادداشتهای تاریخچه نسخههای خود در App Store یا Play Store چیزی در مورد بهروزرسانیهای امنیتی ذکر نکرده است.
Feeld توضیح داد که از آنجایی که بیشتر این رفعها بر روی باطن خدمات متمرکز شدهاند، آسیبپذیریها و اصلاحات در تاریخچه نسخههای جلویی گنجانده نشدهاند. این قابل درک است، اما من همچنان معتقدم که مسائلی از این قبیل باید افشا می شد.
در صورت سوء استفاده از آسیب پذیری ها، هکرها چه اطلاعاتی می توانند به دست آورند؟
باگ های Feeld دسترسی هکرها به اطلاعات را با وجود نداشتن مجوز برای این کار آسان کرده است. این آسیبپذیری، کنترل دسترسی شکسته نامیده میشود و یکی از رایجترین و مخربترین آسیبپذیریهای موجود در برنامهها است.
با سوء استفاده از این آسیبپذیری، یک هکر میتواند به اطلاعات حساس کاربر مانند عکسها، فیلمها، پیامها، سن، تمایلات جنسی و موقعیت مکانی دسترسی پیدا کند.
شگفتانگیزترین چیز این است که فورتبریج برای دسترسی به دادهها از نرمافزار امنیتی و شبکهای اولیه استفاده میکند. برای دسترسی به اطلاعات، محققان فورتبریج از ابزار پروکسی شبکه Burp Suite برای رهگیری داده های ارسال شده از سرورهای Feeld استفاده کردند. پس از رهگیری، محققان دریافتند که دسترسی به مجموعهای از اطلاعات که نباید در دسترس میبود، بسیار ساده است، از دادههای حساس کاربر گرفته تا پیامها و تصاویر خصوصی و استفاده از دادههای رهگیری شده برای ورود بیشتر به حساب.
همراه با دسترسی به عکسها و ویدیوها (حتی اگر قرار بود این عکسهای حساس بعد از ۵ تا ۱۵ ثانیه ناپدید شوند)، محققان همچنین میتوانستند پیامهای بین کاربران را بخوانند و از طرف کاربر پیام ارسال کنند و به آنها کنترل کامل نمایههای کاربران را بدهند. در صحبت با The Register، شان رایت، متخصص امنیت برنامه، کیفرخواست اهانت آمیزی درباره امنیت اپلیکیشن Feeld ارائه کرد:
بسیاری از اطلاعات استفاده شده در این برنامه فوق العاده شخصی خواهد بود. این آسیبپذیریها میتوانند توسط همه انواع بازیگران شرور، از یک سابق حسود، تا یک شکارچی، تا جنایتکاران سازمانیافته که از کلاهبرداریهای باجگیری استفاده میکنند، استفاده کنند.
توانایی خواندن پیامها و پیوستهای دیگران به ویژه نگرانکننده است. اینها فوق العاده شخصی و خصوصی خواهند بود. بدتر از همه، به نظر نمی رسد که بتوانید از این آسیب پذیری ها سوء استفاده کنید.
آیا Feeld آسیب پذیری ها را برطرف کرده است؟
به MakeUseOf تأیید کرد که آسیبپذیریهای آن در اوایل می ۲۰۲۴ برطرف شده و توسط شخص ثالث تأیید شده است. وقفه ناگوار ارتباطی، آسیبپذیریهای Feeld را در اختیار عموم قرار داد، اما ما مطمئن هستیم که آنها برطرف شدهاند.
با این حال، شرکتها باید در مورد آسیبپذیریهایی که کاربران را تحت تأثیر قرار میدهند، شفاف باشند، بهویژه زمانی که با اطلاعات شخصی حساس سروکار دارند. هیچ نشانهای وجود ندارد که دادههای Feeld نقض شده است – اما اگر چنین بود، این داستان بسیار متفاوت بود و آسیبپذیریها وجود داشتند که مورد سوء استفاده قرار میگرفتند. این فقط خوش شانس است که آنها نبودند، و یک تیم متعصب ابتدا به آنجا رسیدند.
اگر نگران دسترسی هکرها به اطلاعات شما هستید، توصیه می کنیم برنامه را حذف کرده و از یکی از بسیاری از برنامه های دوستیابی موجود در بازار استفاده کنید.