محققین امنیت سایبری در موسسه Symantec  سناریو های جالب توجهی که می تواند منجر به حمله به برنامه های Whatsapp و Telegram در اندروید شود را توضیح داده اند که به مهاجمین این توانایی را میدهد که اخبار جعلی پخش کنند ویا با فریب کاربران به حساب های خودشان پول واریز کنند.

این حمله که Media File Jacking نام دارد از این ویژگی استفاده میکند که هر اپلیکیشنی که روی سیستم نصب شده میتواند به فایل های ذخیره شده در منبع ذخیره خارجی دسترسی داشته باشد و آنها را باز نویسی کند که این شامل فایل های ذخیره شده توسط سایر اپلیکیشن های نصب شده روی دستگاه هم میشود.

برنامه های Whatsapp و Telegram به کاربر این اجازه را میدهند تا انتخاب کند فایل های مولتی مدیا دریافتی از طریق این برنامه ها را در منبع حافظه داخلی یا خارجی ذخیره کند.

Whatsapp برای برای اندروید به صورت پیش فرض فایل های مدیا را در حافظه خارجی ذخیره میکند در حالیکه تلگرام برای اندروید از حافظه داخلی برای ذخیره فایل های کاربر استفاده میکند که توسط برنامه دیگری قابل دسترس نیست.

ولی بسیاری از کاربران تلگرام بصورت دستی تنظیمات را به حافظه خارجی تغییر میدهند زمانیکه می خواهند فایل های دریافتی را از طریق برنامه های دیگر مثل facebook یا Gmailو غیره به اشتراک بگدارند.برای این منظور در قسمت تنظیمات گزینه save to gallery را انتخاب میکنند.

شایان ذکر است که این حمله فقط محدود به تلگرام و واتس اپ نمی شود ومی تواند روی  محدوده عملکرد و حریم شخصی بسیاری از برنامه های اندرویدی دیگر نیز تاثیر بگذارد.درست مانند حمله man in the disk یک برنامه آلوده نصب شده روی سیستم میتواند فایل های مدیا مثل عکس های خصوصی ،اسناد  ویا ویذئو را که بین کاربران از طریق حافظه خارجی دستگاه رد وبدل شده را رهگیری کرده و از آنها سو استفاده کند.همه این اتفاق ها بدون آگاهی کاربر خواهد بود.

چهار سناریو برای حمله توسط کارشناسان ارائه شده که در زیر به آنها می پردازیم:

  • در این حالت یک اپ به ظاهر بی خطر ولی در واقع یک بدافزار در قالب اپ که توسط کاربر روی سیستم نصب شده در پس زمینه عملیات media file jacking را انجام میدهد وزمانیکه کاربر از Whatsapp استفاده میکند عکس های خصوصی را بدون آگاهی فرد دستکاری میکند.
  • در این حالت که مخرب ترین حالت media file jacking است صورت حسابی که ممکن است برای کاربر ارسال شود را دستکاری میکند و او را متقاعد میکند که به حسابی که در واقع مربوط به هکر است پول واریز کند.
  • در حالت دیگرمهاجمین با دستکاری فایل صوتی از طریق تکنولوژی deep learning  یک پیغام صوتی را در جهت مقاصد خودشان تغییر میدهند.
  • در کانال های تلگرامی که برای انتشار اخبار استفاده میشود media file jacking میتواند منجر به پخش اخبار جعلی شود.

شرکت symantec درباره media file jacking به Telegram,Whatsapp,Facebook هشدار داده و باور دارد که این موضوع در بروز رسانی آینده Anroid Q توسط گوگل مطرح میشود.

اندروید Q یک قابلیت جدید برای حریم خصوصی به نام Scoped Storage خواهد داشت  که نحوه دسترسی اپلیکیشن ها به فایل های روی حافظه خارجی را تغییر میدهد.

Scoped Storage به هر اپلیکیشن یک فضای ایزوله شده sandbox را در حافظه خارجی اختصاص می دهد که هیچ اپلیکیشن دیگری نمی تواند مستقیما به داده های ذخیره شده توسط برنامه دیگر روی سیستم دسترسی داشته باشد.تا آن زمان کاربران برای کاهش خطر اینگونه حملات میتوانند قابلیت ذخیره فایل های مدیا روی حافظه خارجی را غیر فعال کنند.