फोनलाई नै ह्याक गर्न सक्ने ह्वाट्सएपको नयाँ बग फिक्स

काठमाडौं । ह्वाट्सएपले भर्खरै आफ्नो एन्ड्रोइड एपमा देखिएका दुई सुरक्षा कमजोरीलाई सम्बोधन गरेको छ । ह्याकरहरुले टाढा बसेरै मेलिसियस कोड एक्जिक्युट गर्न सक्ने तथा संवेदनशिल जानकारी चोरी गर्न सक्ने सुरक्षा कमजोरी ह्वाट्सएपमा देखिएको थियो ।

उक्त बगका कारण ह्याकरहरुले एप र एक्सटर्नल स्टोरेजबीच हुने डेटा एक्सचेन्जलाई मेनिपुलेट गरी एप नै ह्याक गर्नसक्ने सम्भावना थियो । 

सेन्सस ल्याबका सुरक्षा अनुसन्धानकर्ताहरुका अनुसार ह्वाट्सएपमा ती दुई सुरक्षा कमजोरीका कारण ह्याकरहरुलाई टीएलएस १.३ तथा टीएलएस १.२ सेसन्सका लागि टाढै बसेर टीएलएस क्रिप्टोग्राफिक सामाग्री संकलन गर्न बाटो खुलेको थियो । 

टीएलएस सेक्रेट हातमा भइसकेपछि मिडल म्यान अट्याक हुनसक्छ जसले ह्वाट्सएपभित्रकै पुरै सञ्चार तथा कुराकानीलाई कम्प्रोमाइज गर्न सक्छ । यति मात्र होइन यसले डिभाइसको रिमोट कोड एक्जिक्युसन गर्नेदेखि एण्ड टु एण्ड इन्क्रिप्सनका लागि प्रयोग हुने न्वाइज प्रोटोकल की समेत निकाल्न सक्छ । 

सुरक्षा कमजोरी (CVE-2021-24027) ले एन्ड्रोइडका कन्टेन्ट प्रोभाइडर्सहरुलाई क्रोमले प्रदान गर्दै आइरहेको सपोर्टलाई (via the “content://” URL scheme) माध्यमबाट दुरुपयोग गर्दछ ।

यसपश्चात सोही ओरिजिन पोलिसीले ब्राउजरमा (CVE-2020-6516) बाईपास गर्दछ । यसबाट अट्याकरले ह्वाट्सएपमार्फत मानिसहरुलाई विशेषरुपमा तयार गरिएको एचटीएमएल फाइल पठाउन सक्छन् । जब ती फाइल प्रयोगकर्ताले ब्राउजरमा खोल्छन्, तब एचटीएमएल फाइलमा बसेको कोड एक्जिक्युट हुन्छ ।

यसरी उक्त बगले ह्वाट्सएपलाई मात्र होइन सिङ्गो फोनलाई नै टाढैबाट आफ्नो नियन्त्रणमा राख्न सक्ने जोखिम थियो । तर भर्खरै ह्वाट्सएपले उक्त बगलाई फिक्स गरिसकेको छ । 

पछिल्लो अध्यावधिक: असोज २, २०७९ २२:३१

टिप्पणीहरू