सितम्बर 17, 2021

व्हाट्सएप इमेज फिल्टर फंक्शन में भेद्यता को पैच करता है जिससे डेटा एक्सपोजर हो सकता है

WhatsApp Hack: What Is Pegasus Spyware and How Was it Reportedly Used to Target Indians?


व्हाट्सएप ने एक भेद्यता को पैच किया है जो एक हमलावर को ऐप की मेमोरी से संवेदनशील जानकारी को पढ़ने की अनुमति दे सकता है, जिसमें विशेष रूप से तैयार की गई छवि का उपयोग करने वाले निजी संदेश भी शामिल हैं। साइबर सुरक्षा फर्म चेक प्वाइंट रिसर्च द्वारा व्हाट्सएप को भेद्यता की सूचना दी गई थी, और यह एंड्रॉइड के लिए व्हाट्सएप और एंड्रॉइड के लिए व्हाट्सएप बिजनेस के इमेज फिल्टर फ़ंक्शन के भीतर मौजूद था जो उपयोगकर्ताओं को अपनी छवियों में फ़िल्टर जोड़ने की अनुमति देता है। फेसबुक के स्वामित्व वाली कंपनी ने चेक प्वाइंट शोधकर्ताओं द्वारा रिपोर्ट किए जाने के बाद सुरक्षा समस्या को ठीक किया और दावा किया कि इस बात का कोई सबूत नहीं था कि भेद्यता का कभी दुरुपयोग किया गया था।

“आउट-ऑफ-बाउंड्स रीड-राइट भेद्यता” कहा जाता है, इस मुद्दे का खुलासा व्हाट्सएप को 10 नवंबर, 2020 को चेक प्वाइंट रिसर्च द्वारा किया गया था। व्हाट्सएप ने बग को ठीक करने में कुछ समय लिया और फरवरी में एक पैच जारी किया। यह एंड्राइड के लिए व्हाट्सएप और एंड्रॉइड ऐप के लिए व्हाट्सएप बिजनेस दोनों के संस्करण 2.21.1.13 के माध्यम से अंतिम उपयोगकर्ताओं को प्रदान किया गया था।

चेक प्वाइंट रिसर्च के शोधकर्ता उस भेद्यता की खोज करने में सक्षम थे जो तकनीकी रूप से एक स्मृति भ्रष्टाचार मुद्दा है, जबकि व्हाट्सएप जिस तरह से संसाधित होता है और उसके प्लेटफॉर्म पर चित्र भेजता है। शोध के दौरान, यह पाया गया कि मैसेजिंग ऐप का इमेज फ़िल्टर फ़ंक्शन तब क्रैश हो जाता है जब इसे कुछ विशेष रूप से डिज़ाइन की गई GIF फ़ाइलों के साथ उपयोग किया जाता है। यह शोधकर्ताओं को उस बिंदु पर ले आया जहां से वे खामियों को दूर करने में सक्षम थे।

चेक प्वाइंट रिसर्च के अनुसार, भेद्यता तब शुरू हो सकती है जब कोई उपयोगकर्ता दुर्भावनापूर्ण रूप से तैयार की गई छवि फ़ाइल वाले अनुलग्नक को खोलता है, फ़िल्टर लागू करने का प्रयास करता है, और फिर छवि को हमलावर पर वापस लागू किए गए फ़िल्टर के साथ भेजता है। इस प्रकार, शोधकर्ताओं ने नोट किया कि हैकर्स को इस मुद्दे का फायदा उठाने के लिए “जटिल कदम और व्यापक उपयोगकर्ता संपर्क” की आवश्यकता होगी।

हालांकि, अगर इसका सफलतापूर्वक उपयोग किया जा सकता है, तो भेद्यता का दावा हैकर्स को व्हाट्सएप मेमोरी से संवेदनशील जानकारी पढ़ने की अनुमति देता है जिसमें निजी संदेश और पहले साझा की गई छवियां और वीडियो शामिल हैं।

“एक बार जब हमें सुरक्षा भेद्यता का पता चला, तो हमने तुरंत अपने निष्कर्षों की सूचना व्हाट्सएप को दी, जो एक फिक्स जारी करने में सहयोगी और सहयोगी था। हमारे सामूहिक प्रयासों का परिणाम दुनिया भर के उपयोगकर्ताओं के लिए एक सुरक्षित व्हाट्सएप है, ”ओडेड वानुनु, उत्पाद भेद्यता अनुसंधान के प्रमुख, चेक प्वाइंट पर, एक तैयार बयान में कहा।

व्हाट्सएप है सूचीबद्ध CVE-2020-1910 के रूप में इसकी सुरक्षा सलाहकार साइट पर भेद्यता का विवरण। प्लेटफ़ॉर्म ने मेमोरी एक्सेस को प्रतिबंधित करने के लिए स्रोत और फ़िल्टर छवियों पर दो नए चेक जोड़े।

व्हाट्सएप ने चेक प्वाइंट रिसर्च को दिए अपने बयान में कहा, “लोगों को इसमें कोई संदेह नहीं होना चाहिए कि एंड-टू-एंड एन्क्रिप्शन इरादे के अनुसार काम करना जारी रखता है और लोगों के संदेश सुरक्षित और सुरक्षित रहते हैं।” “इस रिपोर्ट में कई कदम शामिल हैं जो एक उपयोगकर्ता को लेने की आवश्यकता होगी और हमारे पास यह मानने का कोई कारण नहीं है कि उपयोगकर्ता इस बग से प्रभावित हुए होंगे। उस ने कहा, यहां तक ​​​​कि सबसे जटिल परिदृश्य जो शोधकर्ताओं की पहचान करते हैं, उपयोगकर्ताओं के लिए सुरक्षा बढ़ाने में मदद कर सकते हैं।”

व्हाट्सएप ने अपने उपयोगकर्ताओं को अपने ऐप और ऑपरेटिंग सिस्टम को अपडेट रखने, जब भी वे उपलब्ध हों, अपडेट डाउनलोड करने, संदिग्ध संदेशों की रिपोर्ट करने और व्हाट्सएप का उपयोग करने में समस्या होने पर सीधे अपनी टीम तक पहुंचने की सलाह दी।


क्या गैलेक्सी जेड फोल्ड 3 और जेड फ्लिप 3 अभी भी उत्साही लोगों के लिए बने हैं – या वे सभी के लिए पर्याप्त हैं? हमने ऑर्बिटल, गैजेट्स 360 पॉडकास्ट पर इस पर चर्चा की। कक्षीय उपलब्ध है एप्पल पॉडकास्ट, गूगल पॉडकास्ट, Spotify, अमेज़न संगीत और जहां भी आपको अपने पॉडकास्ट मिलते हैं।



Source link