کشف دو آسیب‌پذیری بحرانی در برنامه پرداخت موبایلی PayRange: خطر رهگیری داده‌ها و تزریق کد JavaScript

CERT/CC Vulnerability NotesUS3 دقیقه مطالعه۱۴۰۵/۰۴/۲۲ ساعت ۰۷:۳۰

خلاصه سریع

اصل خبر در چند خط

برنامه پرداخت موبایلی PayRange در نسخه ۷.۰.۷ خود دارای دو آسیب‌پذیری بحرانی است. اولین آسیب‌پذیری (CVE-2026-13462) باعث پذیرش گواهینامه‌های SSL نامعتبر در WebView می‌شود که زنجیره اعتماد اندروید را دور می‌زند. دومین آسیب‌پذیری (CVE-2026-13461) امکان تزریق کد JavaScript را فراهم می‌کند که می‌تواند از sandbox فرار کرده و اقدامات مخربی مانند سرقت اطلاعات کاربری انجام دهد. مهاجم می‌تواند با رهگیری ترافیک، اتصال TLS جعلی برقرار کرده و داده‌های حساس را به سرقت ببرد. این آسیب‌پذیری‌ها هنوز توسط سازنده برطرف نشده‌اند و کاربران باید منتظر به‌روزرسانی باشند.

متن خبر

شرح خبر

برنامه PayRange، یک اپلیکیشن پرداخت موبایلی محبوب برای انجام تراکنش‌ها در دستگاه‌های خودپرداز، لباسشویی‌ها و سایر تجهیزات بدون نظارت از طریق بلوتوث، با دو آسیب‌پذیری جدی در نسخه ۷.۰.۷ خود در فروشگاه Google Play مواجه است. اولین آسیب‌پذیری (CVE-2026-13462) باعث می‌شود گواهینامه‌های SSL نامعتبر در WebViewهای برنامه پذیرفته شوند، که زنجیره اعتماد اندروید را دور می‌زند. دومین آسیب‌پذیری (CVE-2026-13461) امکان تزریق کد JavaScript را فراهم می‌کند که می‌تواند از sandbox WebView فرار کرده و اقدامات خطرناکی مانند جمع‌آوری اطلاعات احراز هویت، ارسال درخواست‌های مخرب و خواندن داده‌های کاربر از جمله مبادلات با سرورهای PayRange و Stripe را انجام دهد. مهاجم می‌تواند با رهگیری ترافیک، اتصال TLS جعلی برقرار کرده و داده‌های حساس کاربران را به سرقت ببرد. این آسیب‌پذیری‌ها هنوز توسط سازنده برطرف نشده‌اند و کاربران باید منتظر به‌روزرسانی‌های امنیتی باشند. برنامه پرداخت موبایلی PayRange در نسخه ۷.۰.۷ خود دارای دو آسیب‌پذیری بحرانی است. اولین آسیب‌پذیری (CVE-2026-13462) باعث پذیرش گواهینامه‌های SSL نامعتبر در WebView می‌شود که زنجیره اعتماد اندروید را دور می‌زند. دومین آسیب‌پذیری (CVE-2026-13461) امکان تزریق کد JavaScript را فراهم می‌کند که می‌تواند از sandbox فرار کرده و اقدامات مخربی مانند سرقت اطلاعات کاربری انجام دهد. مهاجم می‌تواند با رهگیری ترافیک، اتصال TLS جعلی برقرار کرده و داده‌های حساس را به سرقت ببرد. این آسیب‌پذیری‌ها هنوز توسط سازنده برطرف نشده‌اند و کاربران باید منتظر به‌روزرسانی باشند. این آسیب‌پذیری‌ها به دلیل توانایی مهاجم در دور زدن مکانیزم‌های امنیتی اندروید و تزریق کد مخرب، خطرات جدی برای کاربران ایجاد می‌کنند. مهاجم می‌تواند با بهره‌گیری از این آسیب‌پذیری‌ها، اطلاعات حساس کاربران از جمله اطلاعات پرداخت و احراز هویت را سرقت کند. علاوه بر این، اگر کاربر اپراتور دستگاه باشد، کد تزریق شده می‌تواند دستورات مخربی را با مجوزهای کامل اپراتور اجرا کند که می‌تواند به سوءاستفاده از سخت‌افزار PayRange منجر شود. این آسیب‌پذیری‌ها می‌توانند باعث از دست رفتن اعتماد کاربران به برنامه PayRange شوند و خسارات مالی و اعتباری برای شرکت به همراه داشته باشند. همچنین، در صورت سوءاستفاده از این آسیب‌پذیری‌ها، شرکت ممکن است با شکایات حقوقی و جریمه‌های قانونی مواجه شود. کاربران ایرانی که از این برنامه استفاده می‌کنند نیز در معرض خطر قرار دارند و ممکن است اطلاعات مالی و شخصی آنها به سرقت برود. این موضوع می‌تواند به ویژه برای کسب‌وکارهایی که از این برنامه برای پرداخت‌ها استفاده می‌کنند، خطرناک باشد. این آسیب‌پذیری‌ها می‌توانند منجر به نقض قوانین حفاظت از داده‌ها و حریم خصوصی شوند و شرکت‌ها را در معرض پیگردهای قانونی قرار دهند. همچنین، عدم رعایت استانداردهای امنیتی می‌تواند باعث از دست رفتن گواهینامه‌ها و مجوزهای لازم برای فعالیت شرکت شود. این آسیب‌پذیری‌ها هیچ ارتباط مستقیم با مسائل ژئوپلیتیکی ندارند، اما می‌توانند توسط بازیگران بدخواه در هر کشوری از جمله ایران مورد سوءاستفاده قرار گیرند. فنی و امنیتی برنامه پرداخت موبایلی PayRange در نسخه ۷.۰.۷ خود دارای دو آسیب‌پذیری است که می‌تواند منجر به سرقت اطلاعات کاربری و تزریق کد مخرب شود.

این صفحه خلاصه و تحلیل فارسی خبر را نمایش می‌دهد. نسخه کامل/اصلی از طریق لینک منبع در دسترس است.

تحلیل تحریریه

ابعاد مهم خبر

چرا مهم است؟

این آسیب‌پذیری‌ها به دلیل توانایی مهاجم در دور زدن مکانیزم‌های امنیتی اندروید و تزریق کد مخرب، خطرات جدی برای کاربران ایجاد می‌کنند. مهاجم می‌تواند با بهره‌گیری از این آسیب‌پذیری‌ها، اطلاعات حساس کاربران از جمله اطلاعات پرداخت و احراز هویت را سرقت کند. علاوه بر این، اگر کاربر اپراتور دستگاه باشد، کد تزریق شده می‌تواند دستورات مخربی را با مجوزهای کامل اپراتور اجرا کند که می‌تواند به سوءاستفاده از سخت‌افزار PayRange منجر شود.

اثر کسب‌وکاری

این آسیب‌پذیری‌ها می‌توانند باعث از دست رفتن اعتماد کاربران به برنامه PayRange شوند و خسارات مالی و اعتباری برای شرکت به همراه داشته باشند. همچنین، در صورت سوءاستفاده از این آسیب‌پذیری‌ها، شرکت ممکن است با شکایات حقوقی و جریمه‌های قانونی مواجه شود.

اثر احتمالی برای ایران

کاربران ایرانی که از این برنامه استفاده می‌کنند نیز در معرض خطر قرار دارند و ممکن است اطلاعات مالی و شخصی آنها به سرقت برود. این موضوع می‌تواند به ویژه برای کسب‌وکارهایی که از این برنامه برای پرداخت‌ها استفاده می‌کنند، خطرناک باشد.

ارتباط با LegalTech

این آسیب‌پذیری‌ها می‌توانند منجر به نقض قوانین حفاظت از داده‌ها و حریم خصوصی شوند و شرکت‌ها را در معرض پیگردهای قانونی قرار دهند. همچنین، عدم رعایت استانداردهای امنیتی می‌تواند باعث از دست رفتن گواهینامه‌ها و مجوزهای لازم برای فعالیت شرکت شود.

زاویه رسانه/کشور منبع

فنی و امنیتی

پوشش چند منبعی

این خبر در منابع دیگر

برچسب‌ها