برخی از اپلیکیشنهای محبوب اندروید، از کتابخانه بروزرسانی قدیمی پچ نشده فروشگاه گوگل استفاده میکنند و با این کار امنیت میلیونها کاربر را به خطر انداختهاند.
اپلیکیشنهای محبوب Grindr، Bumble، OkCupid، Cisco Teams، Microsoft Edge، Xrecorder و PowerDirector در برابر این روش آسیبپذیر هستند و میتوان با حمله به سرور آنها، اطلاعات حساس کاربران، مثل رمز عبور، ایمیل ها و … را جمعآوری کرد.
این آسیبپذیری که با نام CVE-2020-8913 شناخته میشود درجه خطر ۸.۸ (از ۱۰) داشته و در کتابخانه هستهای فروشگاه پلی (نسخه های ۱.۷.۲ و قدیمیتر) وجود دارد.
با وجود اینکه آسیبپذیری موجود نزدیک به ۹ ماه قبل برطرف شده، اما یافتههای حاکی از آن است که بسیاری از توسعه دهندگان اپلیکیشنهای سوم شخص، هنوز هسته خود را بروزرسانی نکردهاند.
در آسیبپذیریهای سمت سرور پس از اینکه مشکل برطرف شد سرور بروز رسانی شده و دیگر امکان نفوذ از طریق آن آسیبپذیری وجود نخواهد داشت. اما در آسیبپذیری های سمت کاربر، تمام توسعه دهندگان باید نسخه بروز شده را دریافت کرده و آن را به اپلیکیشن خودشان اعمال کنند.
کتابخانه هستهای فروشگاه پلی، یکی از محبوبترین کتابحانههای اندرویدی است که از آن برای بروزرسانی اپلیکیشنها، دانلود بستههای زبان مورد استفاده قرار میگیرد.
این آسیبپذیری برای اولین بار در مرداد ماه توسط شرکت اوور سکیورد (Oversecured) شناسایی شد. با استفاده از این آسیبپذیری، هکرها میتوانند کدهای مخرب قابل اجرای خود را به هر کدام از اپلیکیشنهای استفاده کننده کتابخانه قدیمی تزریق کند. در نتیجه این کار، هکر میتواند به تمامی منابع آن اپلیکیشن نیز دست پیدا کند.
با بهرهجویی موفق از این آسیبپذیری، کارهای زیادی میتوان انجام داد. میتوان با تزریق کد مخرب به اپلیکیشنهای بانکی، نام کاربری و رمز عبور کاربر را مشاهده کرده و به طور همزمان به پیامکها دسترسی داشته و کد احراز هویت دو مرحلهای را استخراج کرد. علاوه بر این، میتوان پیامهای دریافتی از اپلیکیشنهای پیامرسان را مشاهد کرد، به مکان جغرافیایی قربانی دسترسی داشت. مهمتر از همه اینکه با دستکاری اپلیکیشن حتی به اطلاعات شرکت توسعه دهنده آن نیز دست یافت.
پس از انتشار این گزارش، شرکتهای Viber، Meetup و Booking.com اپلیکیشنهای خود را بروزرسانی کردند.
بهتر است تا بروزرسانی شدن تمامی اپلیکیشنهای فوق، از آنها استفاده نکنید.
هنوز نظری ثبت نشده است. شما اولین نظر را بنویسید.