خبر

  • تک بورد - محققان دریافتند 23 برنامه اندروید بیش از 100 میلیون داده کاربر را با عدم امنیت در معرض آن قرار داده اند

    محققان دریافتند 23 برنامه اندروید بیش از 100 میلیون داده کاربر را با عدم امنیت در معرض آن قرار داده اند
    27 روز قبل

    آسیب پذیری های امنیتی اتفاق می افتد. این فقط بخشی از برنامه ریزی هر برنامه ای است. با این حال ، هنگامی که نقص ناشی از شیوه های کدگذاری نادرست باشد ، این مسئله می تواند به ویژه خشمگین باشد. کلیدهای احراز هویت با کدنویسی سخت در برنامه یا تنظیم نکردن احراز هویت در یک پایگاه داده آنلاین از نظر یک توسعه دهنده قابل قبول نیست و با این حال ، این یک اتفاق کاملاً معمول است.

    روز پنجشنبه ، شرکت امنیت سایبری Check Point Research گزارشی منتشر کرد که جزئیات 23 اندروید را با پیکربندی ها و پیاده سازی های ابری ضعیف ارائه می دهد و به طور بالقوه داده های میلیون ها کاربر را در معرض خطر قرار می دهد. اطلاعاتی که ممکن است به بیرون درز کرده باشد شامل سوابق ایمیل ، پیام های گپ ، اطلاعات مکان ، تصاویر ، شناسه های کاربر و رمزهای عبور است.

    بیش از نیمی از برنامه ها بیش از 10 میلیون بارگیری دارند ، بنابراین دامنه کاربران تحت تأثیر بسیار زیاد است . Check Point تخمین می زند که این برنامه ها ممکن است بیش از 100 میلیون کاربر داده را در معرض دید قرار داده باشند.

    اکثر برنامه ها دارای پایگاه داده های زمان واقعی بودند که توسعه دهندگان آن را برای عموم مردم باز نگه داشتند. این مشکل رایج است ، و مسئله ای که CPR می گوید "بسیار گسترده است". محققان دریافتند که آنها دسترسی آزاد به اطلاعات بیش از نیمی از برنامه های بررسی شده را در پایگاه داده داشتند.

    "بسیاری توسعه دهندگان می دانند که ذخیره کلیدهای سرویس ابری در برنامه آنها عملی نادرست است. ""

    آنها همچنین کشف کردند که در نیمی از برنامه ها کلیدهای ذخیره سازی ابر در کد برنامه هایشان جاسازی نشده است. به عنوان مثال ، CPR کلیدهایی را از داخل یک برنامه فاکس به نام "iFax " بازیابی می کند که به آنها امکان دسترسی به هر انتقال فکس ارسال شده توسط بیش از نیم میلیون کاربر توسط برنامه را می دهد. محققان به دلایل اخلاقی به این سوابق دسترسی پیدا نکردند اما از طریق تجزیه و تحلیل کد که ممکن است داشته باشند ، تأیید کردند.

    یک مشکل کمتر رایج که آنها کشف کردند ، اما هنوز هم قابل توجه است ، کلیدهای هشدار فشار فشرده بود. کلیدهای اعلان تعبیه شده کاملاً به اندازه داشتن کلیدهای ذخیره سازی ابری کدگذاری شده در برنامه نیستند ، اما CPR توضیح می دهد که این کار به همان اندازه عمل بدی است.

    "در حالی که داده های سرویس اطلاع رسانی فشار همیشه نیست حساس ، توانایی ارسال اعلان از طرف توسعه دهنده برای جلب بازیگران مخرب بیش از اندازه است. تصور کنید اگر یک برنامه رسانه خبری اخطار ورود اخبار جعلی را به کاربران خود هدایت می کند که آنها را به یک صفحه فیشینگ دعوت می کند و خواهان تمدید اشتراک خود هستند. از آنجا که اعلان از برنامه رسمی نشات گرفته است ، کاربران مشکوک به چیزی نخواهند شد ، زیرا مطمئن هستند که این اعلان توسط توسعه دهندگان ارسال شده است. "

    Check Point گفت که قبل از این به سازندگان برنامه اطلاع داده است این آسیب پذیری ها را فاش می کند ، و چندین مورد با به روزرسانی برای رفع مشکلات پیگیری کردند. با این حال ، 23 برنامه بررسی شده تنها یک نمونه کوچک از 2.87 میلیون برنامه در Google Play است. با استفاده از همین شیوه های بد احتمالاً تعداد بیشتری از افراد در آنجا وجود دارند.





خبرهای دیگر از نرم افزار