میلیون ها اپلیکیشن اندرویدی در معرض آسیب پذیری شنود Eavesdropper

آسیب پذیری شنود Eavesdropper امنیت میلیون ها اپلیکیشن اندرویدی را تهدید می کند

اخیرا یک آسیب پذیری جدید به نام Eavesdropper یا شنود کشف شده که امنیت میلیون ها اپلیکیشن اندرویدی را تهدید می کند. بر عکس دیگر آسیب پذیرها برای نفوذ از…

اخیرا یک آسیب پذیری جدید به نام Eavesdropper یا شنود کشف شده که امنیت میلیون ها اپلیکیشن اندرویدی را تهدید می کند. بر عکس دیگر آسیب پذیرها برای نفوذ از بدافزارهای مخرب یا  ضعف سیستم عامل استفاده نمی کند.
روش های ضعیف توسعه نرم افزار های موبایل باعث ایجاد آسیب پذیری شنود Eavesdropper  شده است. که منجر به نقض داده ها در بیش از 700 اپلیکیشن موبایل شده است. و 170 تا از این برنامه ها در مارکت های رسمی و آنلاین موبایل موجود هستند و روزانه توسط کاربران دانلود می شوند. اپلیکیشن های آسیب دیده اندروید به تنهایی 200 میلیون بار دانلود شده اند.

به گفته محققان Appthority علارغم آنکه شرکت های توسعه دهنده نرم افزاری از بهترین روش ها برای ایمن سازی برنامه های خود استفاده می کنند. آسیب پذیری شنود سبب می شود که توسعه دهندگان برای سخت کردن کدگذاری امنیتی اعتبارنامه هایشان را در اپلیکیشن های موبایل از API شرکت Twilio یا SDK استفاده کنند. در نتیجه این برنامه دسترسی کامل به پرونده های ذخیره شده در  بک اند سرور Twilio حساب کاربری توسعه دهنده ایجاد می کند.

درتمام زمان توسعه دهندگان و برنامه ها از همان اعتبار نامه ضعیف استفاده می کنند. و آسیب پذیری Eavesdropper حجم گسترده ای از اطلاعات فعلی و حساس شامل میلیون ها تماس های ضبط شده، زمان مکالمات، دقایقی از مکالمات صوتی ضبط شده، پیام های متنی SMS و MMS را فاش می کند.

آسیب پذیری شنود تهدید جدی برای داده های شرکتی ایجاد می کند. زیرا به مهاجم امکان دسترسی به اطلاعات محرمانه شرکت را می دهد که ممکن است شامل طیف وسیعی از اطلاعات حساس که اغلب در محیط سازمانی به اشتراک گذاشته می شوند، مانند مذاکرات، بحث قیمت گذاری، مکالمات استخدامی،افشا محصولات و تکنولوژی، تشخیص سلامتی، داده های بازاریابی و برنامه ریزی را فاش کند.
سیت هاردی، مدیر پروتکل تحقیقات امنیتی، گفت: “مهاجم می تواند فایل های صوتی ضبط شده را به متن تبدیل کند و داده های گسترده ای را برای کلمات کلیدی جستجو کند و در نهایت داده های ارزشمندی را پیدا کند.”

نمونه هایی از برنامه هایی که دارای آسیب پذیری های شنود هستند عبارتند از برنامه ارتباطی امن مربوط به آژانس اجرای قانون فدرال که شرکت سازنده برنامه را قادر می سازد تا مکالمات، مذاکرات و بحث ها را به صورت بلادرنگ ضبط کنند. علاوه بر این، Appthority گفت که این مسئله مخصوص توسعه دهندگان نیست که برنامه های Twilio را ایجاد می کنند.محققان Appthority در تجزیه و تحلیل گفتند: “سخت کردن اعتبارنامه ها یک خطای توسعه دهنده فراگیر و رایج است که خطرات امنیتی برنامه های تلفن همراه را افزایش می دهد.”

به طور قابل توجهی این آسیب پذیری به روت دستگاه متکی نیست. و برای نفوذ از آسیب پذیری سیستم عامل یا بدافزار های مخرب استفاده نمی کند. در عوض، این آسیب پذیری نشان می دهد که یک اشتباه ساده توسعه دهنده برنامه می تواند گواهی امنیتی آنها را فاش سازد سایر برنامه های آن توسعه دهنده را که از گواهی امنیتی مشابهی استفاده می کنند آسیب پذیر سازد.

Twilio به تمامی برنامه های آسیب دیده توسعه دهندگان دسترسی دارد. و به طور فعال برای امن کردن حساب های خود تلاش می کنند. متاسفانه آسیب پذیری افشاگرانه با حذف یک برنامه و سایر برنامه های ذخیره شده در یک دستگاه حل نخواهد شد. و تازمانی که اعبتار نامه های امنیتی به روز رسانی نشوند.. دیتای برنامه ها و دیتای ایجاد شده دیگر برنامه های آن توسعه دهند ( سازنده اپلیکیشن ) آسیب پذیر خواهند بود.

متاسفانه Eavesdropper  آخرین آسیب پذیری نشت داده توسط Appthority است. اخیرا محققان آسیب پذیری HospitalGown را کشف کرده اند که 43 ترابایت داده ( که بعضی از آنها از بین برده شد )  را در بیش از 21 هزار بک اند سرور فاش کرده است. Appthority اخیرا خطرات مربوط به سرویس های پلتفرم مانند Uber را به طور برجسته ای فاش کرده است. که پذیرش سطح پایین استانداردهای رمزگذاری مانند امنیت برنامه های حمل نقل است. موارد ذکر شده فقط چند نمونه از خطرات امنیت اطلاعات و حفظ حریم خصوصی است که نیاز به یک تحلیل کامل از برنامه های تلفن همراه برای شناسایی تهدیدات تلفن همراه برای داده های سازمانی و حفظ حریم خصوصی شرکت ها است.
کریس مورالس، رئیس  موسسه تحلیل امنیتی در Vectra، از طریق ایمیل، گفت: “پیچیدگی محاسبات محیطی و برنامه های کاربردی در هر دو مورد، توسعه دهندگان و مدیران سیستم به کد و زیرساخت های شخص ثالث متکی هستند. تا خدمات را فعال کنند. ریسک همه خدمات شخص ثالث قرار گرفتن در معرض آسیب پذیری اپلیکیشن ها و سیستم های ناشناخته است. API های که در توسه برنامه و زیرساخت های ابری برای اپلیکشین ها و داده های هاستینگ مورد استفاده قرار می گیرد. این یک بحران است برای سازمان هایی که ارزیابی امنیتی خود را بر اساس خدمات شخص ثالث انجام می دهند. و مستقل از ارائه دهنده خدمات، یک فرم از مانیتورینگ خارجی از فعالیت هایشان بر روی آن سروریس تهیه می کنند. همچنین ذکر کرده که به فراهم کنند شخص ثالث اعتماد نکنید.

Twilio یکی از شرکت های خدماتی ارائه دهنده API قدرتمند است. که بیش از 200 هزار توسعه دهنده نرم افزار برنامه های کاربردی خود را با API این شرکت ساخته اند. و امکان استفاده از خدمات ارتباطی مانند مانند SMS، Voice، MMS را در ازای مبلغ ماهیانه مهیا می کند.  این شرکت با ارائه API برای خدمات ارتباطی خود، توانست مدل کسب و کار سنتی شرکت های مخابراتی را به کلی تغییر دهد

**منظور از API ( رابط کاربری برنامه نویسی ) قرار دادی است که دو نرم افزار را قادر می سازد با همدیگر ارتباط برقرار کنند. مثلا عمل کپی کردن از فایرفاکس به ورد و یا سایر برنامه های کامپیوتر. **

 

دسته: اخبار امنیت شبکه و اطلاعات
نتیجه‌ای پیدا نشد.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

این فیلد را پر کنید
این فیلد را پر کنید
لطفاً یک نشانی ایمیل معتبر بنویسید.
برای ادامه، شما باید با قوانین موافقت کنید

keyboard_arrow_up