تطبيق صراحة يعاني من مشاكل أمنية خطيرة

الباحث الأمني Scott Helme يثير العديد من المخاوف الأمنية حول خدمة “ صراحة ” التي انتشرت مؤخراً عبر الفيس بوك

تلبية لفضول البشر في معرفة ماذا يُقال عنهم بصراحة ، فقد حقق تطبيق صراحة Sarahah الشهير عبر فيس بوك Facebook انتشاراً واسعاً و خاصة في صفوف المراهقين .

و لطالماً ما أثار هذا التطبيق مخاوف أمنية من العديد من المختصين في مجال الأمن و الحماية حيث كان آخرهم الباحث سكوت هيلم Scott Helme .

و بحسب الباحث السابق فإن المخاوف الأمنية تركزت على نسخة الويب من تطبيق صراحة و ليس تطبيق الموبايل .

و وصف الباحث أن نظام الحماية CSRF الخاص بتطبيق صراحة تعتبر سهلة التجاوز . حيث يعتبر بحد ذاته شكل خطير من الهجوم و الذي يمكن أن يؤدي إلى تصرفات سيئة على حساب الفيس بوك Facebook للشخص الذي سجل من خلاله في خدمة صراحة ، حيث أشار الباحث إلى أن المهاجم يمكن أن يستغل هذا الأمر من أجل إجبار الحساب على تفضيل منشورات معينة .

كما أشار إلى أنه و في شهر آب المنصرم قام باحث آخر يدعى روني داس Rony Das من معهد Defencely باكتشاف ملفات XSS ( سكريبت عبر الموقع ) قابلة للإصابة و التي يمكن من خلالها القيام و بشكل عدائي برفع محتويات تكون بشكل خاص بصيغة أتش تي إم إل HTML و جافا  سكريبت JavaScript و التي يمكن أن يتم إستدعاؤها و تنفيذها ضمن المتصفح و بالتالي فإنه يمكن عبر هذا النوع من الهجوم القيام بإعادة تحويل المستخدم إلى مواقع أخرى و التي يمكن أن تحوي على برمجيات خبيثة مثل الفايروسات أو برامج التجسس .

الباحث هيلم Helme اكتشف أيضاً مشاكل خطرة مع نظام الحماية و الذي يمنع الموقع من استخدام بروتوكول إتش إس تي إس HSTS  و الذي يُستخدم بشكل متزايد من أجل حماية المستخدمين من اختراق الكوكيز و هجمات البروتوكول منخفض الحماية .

يملك تطبيق صراحة نظام تصفية ( فلترة ) و الذي يستطيع من خلاله استبعاد منشورات بالاعتماد على الكلمات المستخدمة .و بحسب هذا النظام فإن كلمة سكريبت “script” ضمن الكلمات المستبعدة و من المحتمل أن تكون هذه ” طريقة بلهاء ” من أجل تجنب هجمات XSS  كون هناك الكثير الكثير من الطرق من أجل إدخال الجافاسكريبت الخاص بالمهاجم دون استخدام وسم أو تاغ سكريبت script .

و اكتشف الباحث أيضاً افتقار تطبيق صراحة لأي نوع من التقييد سامحا للمستخدم بإمكانية إرسال الكثير من الرسائل سوية. و هي مشلكة تتعلق بقضايا الحماية و معايير المجتمع و ذلك بسبب أن هذا يسبب إزعاج الضحية بعدد لا نهائي من الرسائل المزعجة و ذلك فقط من خلال كتابة سكريبت  بسيط ..

كما يفتقر تطبيق صراحة إلى وظيفة حذف متعدد للرسائل و هو ما يجبر الضحية على قراءة الرسالة أو على الأقل إلقاء نظرة سريعة على كل الرسائل المزعجة التي تتلقاها .

كما عبر الباحث عن مخاوفه من الطريقة التي يتعامل فيها الموقع مع إعادة تعيين كلمة السر في حالة نسيانها و محاولات الدخول المعتمدة على التخمين . حيث يمكن أن يستخدم بطريقة مزعجة .

فمن أجل إعادة تعيين كلمة السر في تطبيق الصراحة فلا يطلب منك سوى عنوان البريد الإلكتروني المرتبط بالحساب ثم سيقوم الموقع بإنشاء ذاتي لكلمة سر جديدة يتم إرسالها إلى ذلك الإيميل و هذا أيضاً لا يقيد بعدد محدد و بالتالي يمكن كتابة سكريبت من أجل تغيير كلمة السر كل ثلاثين ثانية و هذا لن يؤدي إلى ملء صندوق الوارد للضحية فحسب إنما سيجعل من الصعب لهم الدخول إلى حسابهم

و نفس السكريبت السابق يمكن أن يستخدم من أجل منع المستخدم من الدخول إلى حسابهم بطريقة تسجيلات الدخول الخاطئة حيت يتم بعد عشر محاولات خاطئة قفل الحساب لفترة عشوائية من الزمن .

وقال الباحث أن مشكلته الأكبر مع التطبيق هي النقص الواضح في الاحترافية ، حيث قدم لهم ما وجده قبل أشهر من أجل تنبيههم على هذه القضايا الأمنية ، و بعد أشهر من المتابعة دون جدوى قام بكشف هذه القضايا عبر مدونته الشخصية .

تعليقات
جاري تحميل التعليقات ...