هکرها به پیام‌های صوتی فیسبوک گوش می‌دهند

اما این تمام ماجرا نیست. اگر جزء آن گروه از افرادی هستید که پیام‌های خود را به شیوه صوتی برای دوستان‌تان در فیسبوک ارسال می‌کنید، باید بدانید که ممکن است در معرض حمله مرد میانی (MITM) سرنام man-in-the-middle قرار داشته باشید. به طوری که این احتمال وجود دارد تا محتوای پیام‌های صوتی شما در اختیار هکرها قرار بگیرد. در زمان نگارش این مقاله فیسبوک هنوز این باگ را ترمیم نکرده است. اولین بار یک پژوهشگر امنیتی به نام محمد الباسط این باگ را در برنامه پیام‌رسان فیسبوک شناسایی کرد. این باگ به هکرها اجازه می‌دهد تا حمله مرد میانی را اجرا کرده و به این شکل به پیام‌های صوتی خصوصی شما که روی سرورهای فیسبوک قرار گرفته‌اند، دست پیدا کنند.

این حمله چگونه رخ می‌دهد؟

زمانی که یک کلیپ صوتی را ضبط کرده و برای یکی از دوستان‌تان ارسال می‌کنید، پیام شما روی یکی از سرورهای CDN فیسبوک (https://z-1-cdn.fbsbx.com/…) قرار می‌گیرد.

این سرورها به ارسال کننده و دریافت کننده پیام‌ها اجازه می‌دهند از پروتکل HTTPS برای دسترسی به این محتوا استفاده کنند. اما مشکل کار این است که یک هکر در شبکه شما از طریق ابزار SSL Strip به راحتی می‌تواند حمله مرد میانی را پیاده‌سازی کند. حمله‌ای که به او اجازه می‌دهد به لینک‌ها و توکن‌های تایید هویت که درون لینک‌ها جای گرفته‌اند، دست پیدا کند. در ادامه هکر می‌تواند از تکنیک تنزل پروتکل از HTTPS به HTTP استفاده کرده و پیام‌های صوتی را بدون آن‌که به تایید هویت نیازی داشته باشد، به طور مستقیم دانلود کند.

مشکل کار کجاست؟

سرورهای CDN فیسبوک از سیاست امنیت لایه محدود پروتکل انتقال ابر متن (HSTS)  سرنام HTTP Strict Transport Security استفاده نمی‌کنند. این سیاست مرورگرها و عامل‌های کاربری (user agents) را مقید می‌کند با سرورها تنها از طریق پروتکل انتقال ابرمتن در ارتباط باشند. در نتیجه به سایت‌ها کمک می‌کند در برابر حملاتی که به منظور تغییر پروتکل اجرا می‌شود ایستادگی کنند. مشکل دیگر این است که این سرورها از مکانیزم دقیقی برای احراز هویت استفاده نمی‌کنند. زمانی که فایل‌هایی میان دو کاربر فیسبوک به اشتراک قرار می‌گیرد به طور معمول نباید هیچ کاربر دیگری از طریق یک لینک به فایل‌هایی که حاوی توکن‌های تایید هویت هستند، دسترسی داشته باشند. این کارشناس امنیتی در این ارتباط گفت: «مرورگرها زمانی که نیاز دارند تا درخواست‌های GET را به یادآورند از کش‌ها و تاریخچه‌های خودشان استفاده می‌کنند. اما به جای آن بهتر است از درخواست‌های POST همراه با یک توکن ضد CSRF استفاده شود.»

متاسفانه این کارشناس امنیتی جایزه‌ای در این ارتباط دریافت نمی‌کند، به دلیل این‌که در برنامه پاداش در مقابل باگ فیسبوک به مکانیزم حملات تنزول (downgrade attacks) پروتکل اشاره‌ای نشده است.