اپلیکیشن‌های پچ نشده محبوب اندرویدی، امنیت میلیون‌ها کاربر را تحت تاثیر قرار داده‌اند

دوشنبه, 17ام آذر, 1399

منبع این مطلب thehackernews

امنیت در اینترنت

مطالب منتشر شده در این صفحه نمایانگر سیاست رسمی رادیو زمانه نیستند و توسط کاربران تهیه شده اند. شما نیز می‌توانید به راحتی در تریبون زمانه عضو شوید و مطالب خود را منتشر کنید.

برخی از اپلیکیشن‌های محبوب اندروید، از کتابخانه بروزرسانی قدیمی پچ نشده فروشگاه گوگل استفاده می‌کنند و با این کار امنیت میلیون‌ها کاربر را به خطر انداخته‌اند.

اپلیکیشن‌های محبوب Grindr، Bumble، OkCupid، Cisco Teams، Microsoft Edge، Xrecorder و PowerDirector در برابر این روش آسیب‌پذیر هستند و می‌توان با حمله به سرور آنها، اطلاعات حساس کاربران، مثل رمز عبور، ایمیل ها و … را جمع‌آوری کرد.

این آسیب‌پذیری که با نام CVE-2020-8913 شناخته می‌شود درجه خطر ۸.۸ (از ۱۰) داشته و در کتابخانه هسته‌ای فروشگاه پلی (نسخه های ۱.۷.۲ و قدیمی‌تر) وجود دارد.

با وجود اینکه آسیب‌پذیری موجود نزدیک به ۹ ماه قبل برطرف شده، اما یافته‌های حاکی از آن است که بسیاری از توسعه دهندگان اپلیکیشن‌های سوم شخص، هنوز هسته خود را بروزرسانی نکرده‌اند.

در آسیب‌پذیری‌های سمت سرور پس از اینکه مشکل برطرف شد سرور بروز رسانی شده و دیگر امکان نفوذ از طریق آن آسیب‌پذیری وجود نخواهد داشت. اما در آسیب‌پذیری های سمت کاربر، تمام توسعه دهندگان باید نسخه بروز شده را دریافت کرده و آن را به اپلیکیشن خودشان اعمال کنند.

کتابخانه هسته‌ای فروشگاه پلی، یکی از محبوب‌ترین کتابحانه‌های اندرویدی است که از آن برای بروزرسانی اپلیکیشن‌ها، دانلود بسته‌های زبان مورد استفاده قرار می‌گیرد.

این آسیب‌پذیری برای اولین بار در مرداد ماه توسط شرکت اوور سکیورد (Oversecured) شناسایی شد. با استفاده از این آسیب‌پذیری، هکرها می‌توانند کدهای مخرب قابل اجرای خود را به هر کدام از اپلیکیشن‌های استفاده کننده کتابخانه قدیمی تزریق کند. در نتیجه این کار، هکر می‌‍تواند به تمامی منابع آن اپلیکیشن نیز دست پیدا کند.

با بهره‌جویی موفق از این آسیب‌پذیری، کارهای زیادی می‌توان انجام داد. می‌توان با تزریق کد مخرب به اپلیکیشن‌های بانکی، نام کاربری و رمز عبور کاربر را مشاهده کرده و به طور همزمان به پیامک‌ها دسترسی داشته و کد احراز هویت دو مرحله‌ای را استخراج کرد. علاوه بر این، می‌توان پیام‌های دریافتی از اپلیکیشن‌های پیام‌رسان را مشاهد کرد، به مکان جغرافیایی قربانی دسترسی داشت. مهم‌تر از همه اینکه با دستکاری اپلیکیشن‌ حتی به اطلاعات شرکت توسعه دهنده آن نیز دست یافت.

پس از انتشار این گزارش، شرکت‌های Viber، Meetup و Booking.com اپلیکیشن‌های خود را بروزرسانی کردند.

بهتر است تا بروزرسانی شدن تمامی اپلیکیشن‎‌های فوق، از آنها استفاده نکنید.

نظرات

نظر (به‌وسیله فیس‌بوک)

این مطلب خلاف آیین نامه تریبون است؟ آن را به ایمیل tribune@radiozamaneh.com گزارش کنید