حمله سایبری به یک میلیارد دستگاه اندرویدی
یکی از خطراتی که کاربران گوشی های اندرویدی را تهدید می کند، هک دستگاه های اندرویدی آن ها است. اخیراً محققان حمله هکری را شناسایی کرده اند که می تواند به یک میلیارد دستگاه اندرویدی نفوذ کند.
وب سایت کلیک: کاربران گوشی های اندرویدی در تمام دنیا وجود دارند و روز به روز بر تعداد آن ها افزوده می شود. یکی از خطراتی که این کاربران را تهدید می کند هک دستگاه های اندرویدی آن ها است. اخیراً محققان حمله هکری را شناسایی کرده اند که می تواند به یک میلیارد دستگاه اندرویدی نفوذ کند.
محققان هنک کنگی از وجود حمله هکری خبر می دهند که می تواند تعداد زیادی اپلیکیشن اندرویدی را تهدید کند. در واقع هکرها با استفاده از این روش جدید می توانند به راحتی از طریق یک سری اپلیکیشن های نصب شده روی گوشی قربانی به هر چه که می خواهند از حساب کاربری ثبت شده روی دستگاه تا فایل های شخصی دسترسی پیدا کنند. اپلیکیشن هایی که راه نفوذ هکرها به گوشی های قربانیان را باز می کنند تاکنون میلیون ها بار دانلود شده اند.
سه محقق چینی دانشگاه هنگ کنگ به نام های رنقانی یانگ، وینگ چونگ لو و تیانیو لیو در تحقیق حدود ۶۰۰ اپلیکیشن اندرویدی که توسط برنامه نویسان آمریکایی و چینی ساخته شده است را مورد بررسی قرار داده اند. در این بررسی این محققان دریافته اند که حدود ۴۱ درصد از اپلیکیشن های استفاده شده در این تحقیق دارای مشکلاتی هستند که مربوط به OAuth ۲.۰ است. در واقع OAuth ۲.۰ به کاربران اجازه می دهد تا تنها از طریق یک حساب کاربری مثلاً حساب کاربری گوگل یا فیس بوک برای ورود اپلیکیشن و یا وب سایت های شخص ثالث یا تجاری وارد شوند و این یعنی برای ورود و استفاده از آن وب سایت یا اپلیکیشن نیازی به داشتن حساب کاربری جداگانه ای نیست. این مشکل به دلیل روشی است که توسعه دهندگان از OAuth برای طراحی و توسعه اپلیکیشن ها استفاده می کنند.
به طور معمول وقتی کاربری بخواهد از طریق OAuth وارد حساب کاربری خود در اپلیکیشن مورد نظر شود، این اپلیکیشن از طریق بررسی ارائه دهنده شناسه مثل فیس بوک و یا گوگل برای شناسایی و معتبر بودن حساب کاربری اقدام می کند. اگر شناسه بررسی شده از طریق ارائه دهنده مورد تایید بود در این صورت OAuth اجازه دسترسی را از طریق سرور پشتیبان ارائه دهنده شناسه برای ورود به سروری که از اپلیکیشن مربوطه پشتیبانی می کند صادر خواهد کرد. این اجازه دسترسی باعث میشود که سرور پشتیبان اطلاعات مربوط به شناسایی کاربر را جمع آوری کند و اجازه ورود را طریق ارائه دهنده شناسه صادر کند.
اما محققان بر این باورند که در بسیاری از اپلیکیشن های اندرویدی توسعه دهندگان برای بررسی اعتبار شناسه از سرورهای ارائه دهنده شناسه به صورت قابل قبولی استفاده نمی کنند. برای مثال آن ها در اعتبار سنجی امضاهایی که به همراه سایر اطلاعات شناسایی از روی سرورهای فیس بوک یا گوگل بازیابی می شوند موفق نبوده اند. یا در نمونه دیگر سرور پشتیبان اپلیکیشن تنها شناسه کاربر را بررسی می کند و اطلاعات OAuth را برای بررسی اینکه آیا اطلاعات با یکدیگر هم خوانی دارند کنترل نمی کند.
به همین دلیل این امکان برای هکرها به وجود می آید تا اپلیکیشن های مورد تهدید را دانلود نموده و با استفاده از اطلاعات خود به آن وارد شوند و سپس به نام کاربری مورد نظر تغییر نام داده و از تنظیمات سرور برای دسترسی به اطلاعات کاربر مورد نظر یعنی کاربری که به نام کاربری وی دسترسی پیدا کرده اند، استفاده کنند. این هکرها معمولاً برای نام کاربری معتبر و واقعی از جستجوی گوگل استفاده می کنند.
همان گونه که این محققان در گزارش های مربوط به این بررسی ذکر کرده اند، هکرها می توانند بدون اینکه کاربر متوجه شود به حساب کاربری وی که روی دستگاه اندرویدی او ثبت شده است وارد شوند از اطلاعات او استفاده کنند. پیش از این برای اینکه هکرها بتوانند به دستگاه اندرویدی شخص وارد شوند نیاز به تایید و یا اقدامی از جانب کاربر بودند. اما در حمله جدید هکرها می توانند به راحتی از راه سرور پشتیبان اپلیکیشن های نصب شده روی گوشی همراه فرد اقدام کنند. مثلاً اگر قربانی از اپلیکیشن های مربوط به سفر استفاده و خرید بلیت استفاده کند هکرها به راحتی می توانند از طریق آن اپلیکیشن به سرور آن حمله کرده و اطلاعاتی که به آن وارد می شود را به راحتی در اختیار داشته باشند. یا مثلاً همین اتفاق می تواند برای اپلیکیشن های رزرو هتل صادق باشد.
به گفته محققان تعداد اپلیکیشن های آسیب پذیر بیش از ۴/۲ میلیارد است. در بسیاری از این اپلیکیشن ها کاربران می توانند با استفاده از حساب های کاربری گوگل یا فیس بوک خود و اطلاعات OAuth برای ورود به اپلیکیشن استفاده کنند. در تحقیقات انجام شده توسط این محققین حدود ۱ میلیارد حساب کاربری در معرض تهدید حمله هکرهایی هستند که از طریق گفته شده به گوشی افراد نفوذ می کنند.
البته ابن محققان هنوز این بررسی ها را برای اپلیکیشن های دستگاه های اپل انجام نداده اند. به عقیده این محققان این حملات می تواند از طریق هر نوع سیستم عاملی چه اندروید و چه iOS انجام شود و ربطی به نوع سیستم عامل ندارد و به این ترتیب کاربران iOS نیز در معرض تهدید قرار دارند.
به عقیده یکی از اعضای تحقیقاتی این تیم گوگل و فیس بوک می بایت در خصوص توسعه نرم اپلیکیشن ها توسط توسعه دهندگان خط مشی مشخصی ایجاد کنند تا بتوانند از طریق پروتکل OAuth که کامل شده است اقدامات امنیتی لازم برای کاربران را اعمال کنند. به عقیده این عضو تیم بسیاری از توسعه دهندگان اپلیکیشن ها شایستگی لازم برای توسعه اپلیکیشن را ندارند. اگر چه در بسیاری از موارد سعی می کنند تا توصیه های فیس بوک و گول را برای حفظ امنیت کاربران بکار گیرند اما اگر در یک مرحله اشتباهی از طرف آن ها رخ دهد اپلیکیشن طراحی شده توسط آن ها به صورت open source خواهد بود و هکرها می توانند به راحتی به آن دسترسی پیدا کنند.
تبلیغات متنی
-
سرنوشت تلخ قاتلی که از قصاص گریخت
-
هافبک استقلال به سیم آخر زد: شورش را درآوردید!
-
ثابتی: قوه قضاییه باید با روحانی برخورد کند
-
پروژه تازه ترامپ در آمریکا خبرساز شد
-
اولویت بعدی پرسپولیس در نقلوانتقالات
-
مهندس گوگل جاسوس چین از آب درآمد
-
شادی گل خاص طارمی بعد از حساسترین گل فصل
-
فال روزانه دوشنبه ۱۳ بهمن ۱۴۰۴ | فال امروز| Daily Omen
-
سرباز سابق آمریکایی برای دفاع از ایران فرم پر کرد!
-
رشیدپور برای برکناری رئیس صداوسیما کارزار راه انداخت!
-
بزرگترین کارگاه تولید مشروب در تهران لو رفت!
-
خشم منوچهر هادی در جشنواره فجر: دیکتاتور هستید!
-
مداح مشهدی شعار «این آخرین نبرده» را اجرا کرد
-
بازیگر سریال ستایش از تلویزیون خداحافظی کرد
-
واکنش فارس به کنارهگیری دو لژیونر از تیمملی
-
خشم منوچهر هادی در جشنواره فجر: دیکتاتور هستید!
-
مداح مشهدی شعار «این آخرین نبرده» را اجرا کرد
-
بازیگر سریال ستایش از تلویزیون خداحافظی کرد
-
درخواست فوری برای برکناری رئیس صداوسیما
-
سفارت ایتالیا در تهران تعطیل شد
-
اطلاعیه درباره علت مرگ مشکوک دو دانشجوی پزشکی
-
ماجرای چند نام تکراری در فهرست اعلامی دولت از جانباختگان
-
پیغام جدیدی که از آمریکا به ایران مخابره شد
-
بخشی از واکنش ترامپ به صحبتهای امروز رهبر انقلاب
-
اقدام معنادار عراق با رونمایی از یک شهر موشکی
-
مهدی قایدی جلوی خنده مجری شبکه افق را گرفت
-
موج تازه برف و باران شدید در راه است
-
آغاز پروازهای شرکت هواپیمایی هلند به خاورمیانه
-
شجاع خلیلزاده امشب دوباره به صدر اخبار رفت
-
آرایش نظامی پایگاههای آمریکا در منطقه تغییر کرد!
-
ناو هواپیمابر لینکلن دریای عمان را ترک کرد
-
کریسمسِ صداوسیمای ایران تا ابد عزادار شد
-
احکام برخی دستگیرشدگان اعتراضات اخیر صادر شد
-
خواننده و مجری سرشناس ترکیه درگذشت
-
دو انفجار خبرساز در اهواز و بندرعباس
-
رزمایش مشترک ایران، روسیه و چین تکذیب شد؟
-
ورود کاروان نظامی بزرگ آمریکا به عراق
-
یک سامانه بارشی قوی در آستانه ورود به کشور
-
پیام شهاب حسینی به پدر و مادرِ ایلیا دهقانی
-
رابعه اسکویی از مردم عذرخواهی کرد
-
بازیگران در جشنواره فجر مشکیپوش شدند
-
خبر فوری علی لاریجانی در رابطه با آمریکا
-
موضع عربستان درباره جنگ با ایران ۱۸۰ درجه تغییر کرد
-
مداح مشهدی شعار «این آخرین نبرده» را اجرا کرد
-
رسانه قالیباف خواستار اخراج بازیکن استقلال شد
بانک اطلاعات مشاغل تهران و کرج
-
سالن های آرایش و زیبایی
-
پزشکان پوست و مو
-
آموزشگاه آشپزی در تهران
-
گالری پوشاک
-
اخذ ویزا
-
کاشت ناخن
-
محصولات پزشکی
-
تدریس خصوصی
-
مزون و شوی لباس
-
اعزام دانشجو
-
خدمات آرایشی و زیبایی
-
خدمات درمانی
-
مدارس
-
طلا و جواهر و زیورآلات
-
صرافی
-
محصولات آرایش و زیبایی
-
خدمات حیوانات خانگی
-
مهد کودک
-
مبلمان
-
سیسمونی و نوزاد
-
مراکز درمانی
-
پت شاپ
-
رستوران و تهیه غذا
-
تعمیرات مبل در تهران
-
خدمات تفریح و سرگرمی
-
پزشکان متخصص
-
باشگاه های ورزشی
-
فست فودهای تهران
-
سرویس خواب
-
موبایل
-
دکتر زنان در تهران
-
فروشگاه ها و لوازم ورزشی
-
کافی شاپ و سفره خانه
-
دکوراسیون داخلی
-
لوازم خانگی
-
دندانپزشکان
-
آموزشگاه ها
-
صنایع غذایی
-
تزیینات داخلی
-
خدمات منزل
-
دندانپزشکی کودک
-
آموزشگاه زبان در تهران
-
تشریفات و موسسه پذیرایی
-
خدمات ساختمان
-
فروش و خدمات خودرو
-
پزشکان زیبایی و لاغری
-
آموزشگاه موسیقی
-
خدمات مجالس
-
قالیشویی در تهران
-
سایر خدمات
-
جراحی بینی و زیبایی
-
آموزشگاه هنری
-
آتلیه عکاسی
-
آژانس مسافرتی و هتل
ارسال نظر