روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ جان جکسون، محقق امنیت سایبری تحقیقی را در مورد دو آسیب‌پذیری -CVE-2023-24069 و CVE-2023-24068- که در کلاینت دسکتاپ مسنجر سیگنال پیدا کرده است منتشر نموده. او مطمئن است مهاجمین می‌توانند برای جاسوسی این دو آسیب‌پذیری را اکسپلویت کنند. با ما همراه باشید تا موضوع را بررسی کنیم. از آنجایی که اپ‌های دسکتاپی Signal برای همه سیستم‌عامل‌ها یک پایه کد مشترک دارد هر دو آسیب‌پذیری نه تنها در کلاینت ویندوز که در کلاینت‌های مک‌اواس و لینوکس نیز وجود دارند. همه نسخه‌ها تا جدیدترین که 6.2.0 باشد آسیب‌پذیر هستند. در ادامه قصد داریم بررسی کنیم که این تهدید تا چه حد جدی است.

معرفی دو آسیب‌پذیری CVE-2023-24069 و CVE-2023-24068

اولین آسیب‌پذیری که CVE-2023-24069 باشد یک مکانیزم مخرب است که فایل‌های ارسالی از طریق سیگنال را مدیریت می‌کند. وقتی فایلی پاک می‌شود از دایرکتوری ناپدید می‌شود مگر فردی به آن جواب دهد یا به چتی دیگر آن را فوروارد کند. افزون بر این، جدا از حقیقت که سیگنال مسنجری امن است و همه ارتباطات در آن رمزگذاری می‌شود، فایل‌ها در فرمی محافظت‌نشده ذخیره می‌شوند.

آسیب‌پذیری دوم که CVE-2023-24068 باشد با تحقیق دقیق‌تر روی کلاینت پیدا شد. کاشف بعمل آمد که کلاینت مکانیزم تأییده فایل نداشته است. به لحاظ تئوریک، این به مهاجم اجازه می‌دهد تا آن‌ها را جایگزین کند. بدین‌معنا که اگر فایل فورواردشده روی کلاینت دسکتاپ باز شود فردی می‌تواند آن را در فولدر لوکال با یکی جعلی جایگزین کند. از این رو با انتقال‌های بعدی، کاربر به جای فایلی که واقعاً قصد فورواردش را داشته شروع می‌کند به توزیع فایل سوئیج‌شده.

چطور ممکن است این آسیب‌پذیری‌ها خطرناک باشند؟

ریسک‌های احتمالی  CVE-2023-24069 کم و بیش قابل‌فهم‌تر هستند. اگر کاربر نسخه دسکتاپی سیگنال کامپیوترش را قفل نشده رها کند، مهاجم می‌تواند به فایل‌هایی که از طریق سیگنال ارسال شدند دسترسی پیدا کند. همین اتفاق نیز اگر رمزگذاری تمام دیسک روی کامپیوتر فعال شده باشد و دارنده بخواهد آن را سهواً جایی (مانند هتل) رها کند نیز می‌تواند بیافتد. اکسپلویت کردن آسیب‌پذیری دوم اما رویکرد جامع‌تری را می‌طلبد. بگذارید فردی را مثال بزنیم که مکرراً از طریق اپ دسکتاپی سیگنال (برای مثال مدیری که تسک‌ها را به زیرمجموعه خود ارسال می‌کند) فایل ارسال و دریافت می‌کند. اینجا مهاجم با دسترسی به این کامپیوتر می‌تواند یکی از فایل‌ها را جایگزین کند یا برای هدف سرقت داکیومنت موجود را فرضاً با درج اسکریپت مخرب داخل آن دستکاری‌اش کند! در نتیجه، با انتقال‌های بعدی همان فایل، دارنده آن در حقیقت مشغول توزیع بدافزار به کانتکت‌های خود خواهد شد. تأکید داریم که اکسپلویت هر دو آسیب‌پذیری تنها زمانی ممکن است که مهاجم از قبل به کامپیوتر قربانی دسترسی داشته باشد. اما این سناریوی غیرواقعی‌ای نیست- ما لزوماً در مورد دسترسی فیزیکی صحبت نمی‌کنیم. همین که بدافزاری که به مهاجم اجازه دستکاری فایل می‌دهد بتواند کامپیوتر را آلوده کند کافی است.

چطور ایمن بمانیم؟

بر اساس برنامه CVE، توسعه‌دهندگان سیگنال اهمیت این آسیب‌پذیری‌ها را کتمان می‌کنند اما اجالتاً می‌بایست جانب احتیاط را رعایت کرده و از نسخه دسکتاپی این پیام‌رسان استفاده نکرد (منظورمان نسخه‌های دسکتاپی همه مسنجرها به طور کلی است). اما اگر پروسه کاری‌تان طوریست که باید یک سری تسک‌ها را از طریق انجام دهید توصیه می‌کنیم:

•         به کارمندان خود بیاموزید که کامپیوتر را قفل‌نشده رها نکنند.
•         همیشه روی دستگاه‌های کاری خود رمزگذاری تمام دیسک داشته باشند.
•         از راهکاهای امنیتی استفاده کنید که می‌توانند بدافزارها را شناسایی کرده و جلوی هدفی که دارند را بگیرند (دسترسی به داده‌های شما).

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.