در همین ۳ یا ۴ روزی که گذشت سه تا ضعف امنیتی در صفحه قفل کننده iOS7 گزارش شد. جالبه که اپل قول داده بود این ضعف ها رو که در نسخه های قبل هم بوده در نسخه جدید برطرف کنه در حالیکه الان داره یکی یکی مشخص می شه که هنوز وجود دارند.

یکیش رو که جادی در موردش نوشته.

باگ بعدی امکان دور زدن قفل ورودی و دسترسی به اطلاعات فرد، عکس هاش، ایمیل، توییتر و غیره رو می ده.

دور زدن Lock Screen

روش:
دستتون رو از پایین Lock Screen به بالا کشیده تا کنترل پنل بیاد و اپ ساعت رو اجرا کنید
بخش آلارم اپ ساعت رو بیارید و دکمه پاور رو نگهدارید
به سرعت کنسل رو بزنید و روی دکمه home دبل کلیک کنید و در کلیک دوم دستتون رو برای مدت طولانی تری روی دکمه نگهدارید
حالا می تونید به دوربین و عکس ها دسترسی داشته باشید و عکس ها رو توی توییتر و فیسبوک شر کنید و یا ایمیل کنید.

من چک نکردم این ضعف رو ولی گفته شده که روی آیفونهای ۴S، ۵، ۵C و ۵S امتحان شده همچنین روی جدیدترین مدل های آیپد هم جواب می ده. (منبع)

تصاویری از دسترسی به عکس ها و امکان ارسالشون در آیفون ۴S

و ضعف امنیتی سوم هم روز گذشته گزارش شد. کرم داوود یک فلسطینی ۲۷ ساله ساکن شهر رام الله این باگ رو اعلام کرد. مشکلی که اجازه می ده هرکسی بتونه از آیفون شما تماس تلفنی بگیره.

مشکلات متعدد Lock Screen در نسخه ۷ سیستم عامل اپل

باگ در سیستم تماس اضطراری این نسخه است.

شخص باید دکمه تماس اضطراری رو بزنه، یه شماره رو بگیره و سریع دکمه تماس (call) رو بزنه و نگهداره تا تلفن به یه صفحه خالی با لوگوی اپل در وسط صفحه بره و با اون شماره تماس گرفته بشه.

نویسنده سایت فوربس می گه این باگ رو روی ۵S با دو تا شبکه مختلف چک کرده و هر دو جواب داده. فقط در دومی حدود یک دقیقه طول کشیده تا صفحه مشکی بیاد.

خود دواود هم که روی یک گوشی قدیمی تر با نسخه آخر سیستم عامل این موضوع رو چک کرده. (منبع)

اپل اعلام کرده که به زودی یه پچ برای برطرف کردن این باگ ارائه می ده.

اینجور که معلومه این قفس طلایی اپل خیلی هم طلایی نیست. باید منتظر ماند و دید.

پ ن: علی در کامنت به نکته خوبی اشاره کرد. تا زمانی که پچ های لازم از طرف اپل برای برطرف کردن این نقص، ارائه نشده می تونید در منوی Settings و در بخش Control Center گزینه Access on Lock Screen را غیرفعال کنید.

توی پست های گذشته زیاد در مورد فیشینگ گفتم. الان اما میخوام که قدم به قدم یه حمله فیشینگ رو جلو ببریم. البته تا یک مرحله مونده به آخر 🙂 چون قرار نیست که واقعا کسی رو هک کنیم. قراره فقط بدونیم هکرها چکار می کنن تا بتونیم جلوشون رو بگیریم.

هدف: نیویورک تایمز

ابزار: متا اسپلویت، یه براوزر (فرقی نمی کنه کدوم)، یه هاست رایگان و البته یه سرویس یافتن سرور ایمیل

از اینجا به بعد باید مثل یه هکر فکر کنیم.

قصد داریم به سرور نیویورک تایمز نفوذ کنیم و شیوه رو هم فیشینگ انتخاب کردیم که بتونیم به یه سری ایمیل داخلی دسترسی داشته باشیم که اگر تونستیم با اون ایمیل ها وارد سایت بشیم و خبری منتشر کنیم و یا کنترل اکانت توییتر صاحب ایمیل رو به دست بگیریم و کلی ایده دیگه.

اول باید یه سری ایمیل داخلی گیر بیاریم. برای اینکار از متا اسپلویت استفاده می کنیم. یه ابزار قدرتمند برای استفاده از اکسپلویت های مختلف که می تونه مورد استفاده ترکیبی با ابزارهای دیگه مثل ست (SET) هم قرار بگیره و رایگان هم است. متا اسپلویت رو می تونیم در سیستم عامل های مختلف استفاده کنیم که من با کالی لینوکس کار می کنم. کاری که ما اینجا برعهده اش میذاریم اینه که با گوگل و یاهو و بینگ بگرده و هرچی می تونه برامون ایمیل کارکنان نیویورک تایمز رو پیدا کنه.

ابتدا کنسول متا اسپلویت رو اجرا می کنیم و با توجه به اینکه یه ابزار گسترده است، برای پیدا کردن اون ماژول خاصی که لازم داریم از دستور سرچ استفاده می کنیم.

یه پرانتز باز کنم. اگه بعد از دستور سرچ با این اعلام مواجه شدین:

معنیش اینه که یه مشکل در ارتباط با دیتابیس وجود داره. اول میایم چک می کنیم که آیا ارتباط برقراره یا نه و اگر مثل تصویر زیر کانکشن مشکل داشت:

پیام خطای جستجو و روش حل مشکل

ابتدا از کنسول خارج می شیم و بعد با این دستورها سرویس دیتابیس رو راه میندازیم و بعد دوباره وارد کنسول می شیم:

پرانتز بسته.

حالا با جستجوی کلمات زیر به ماژول مورد نظر می رسیم

و پس از مشخص کردن ماژول و انتخاب دامنه. دستور اجرا می دهیم:

اجرای دستور

می بینید که ۹۱ ایمیل پیدا شد که خب اگه بتونیم ۵ درصد آدما رو هم فریب بدیم می شه ۴ تا ایمیل که برای ادامه کار خیلی مناسبه.

نتایج جستجو

بعد از پیدا کردن قربانی ها وقت آماده کردن صفحه تقلبی رسیده. باید صفحه لاگین ایمیل تحت وب سایت نیویورک تایمز رو پیدا کنیم. با استفاده از سرویس های آنلاین این دامنه رو چک میکنیم و می بینید که نیویورک تایمز از سرویس گوگل برای ایمیل استفاده می کنه و خب مشکل ما حل نشد:

با یه آزمون و خطا سعی میکنیم آدرس رو پیدا کنیم. معمولا برای راحتی کاربرها از زیر دامنه mail  استفاده می شه. چک می‌کنیم و بله. پیدا شد:

صفحه ورود ایمیل نیویورک تایمز

حالا با راست کلیک روی صغحه و  مشاهده source می تونیم اون رو کپی کنیم و توی صفحه ای که روی سرور خودمون داریم ازش استفاده کنیم. می بینید که مو نمی زنه. البته غیر از آدرسش:

و یه تغییر توی کد صفحه می دیم. جایی که فرم دریافت مشخصات اطلاعات رو به سایت گوگل ارسال می کنه رو جوری تغییر می دیم که اطلاعات کاربر برای ما بیاد. مقصد اطلاعات می تونه یه فایل پی‌اچ‌پی باشه که اطلاعات دریافتی رو توی یه فایل روی سرور ذخیره کنه و یا اینکه بلافاصله برای ما ایمیل کنه که اگر کاربر شک کرد و خواست بعد از فکر کردن، پسوردش رو تغییر بده ما وقت داشته باشیم تا مرحله بعدی حمله رو انجام بدیم.

آدرس مقصد اطلاعات کاربر

مرحله بعدی می تونه استفاده از ایمیل های هک شده برای فریب کاربرهای دیگه باشه که اونها هم اطلاعاتشون رو توی صفحه تقلبی وارد کنند. آدما خیلی راحت تر به کارهایی که دوست شون یا همکارشون گفته عمل می کنند (خنده شیطانی).

به این خاطر که قرار نیست کسی رو واقعا هک کنیم این پست رو همینجا تموم می کنم.

پ ن ۱ : دوستی پرسید که چطور بایدکاربرها رو ترغیب کنیم که اطلاعات کاربریشون رو توی صفحه تقلبی وارد کنند. خب اینجاش دیگه بحث مهندسی اجتماعیه. باید ببینیم هدفمون کیه و به چی علاقه داره. اینا خبرنگارن. پس می تونیم بگیم فلانی بیا یه خبر داغ برات ایمیل کردم که می تونی باهاش تتیر یک فردا رو بگیری. یا یه همچین چیزی. و بعد بفرستیش که بره با لینک به صفحه تقلبی، ایمیلش رو چک کنه.

اول بگم که شاه کلید همون master key خودمونه 🙂

اعلام این خبر یه ضربه به تیم اندروید و طرف های درگیر در این پروژه بود. اولین بار در کنفرانس کلاه سیاه ها مطرح شد و البته بعدا معلوم شد که یه سری از اپ های مارکت هم از این ضعف سو استفاده کرده اند. قضیه از این قراره که با استفاده از این مشکل (که در ادامه به تفصیل خواهم گفت) می شه از اپ های مشهور و تایید شده هم سو استفاده کرد و کدهای مخرب وارد سیستم قربانی کرد.

اگر دستی در برنامه نویسی اندروید (و یا جاوا) داشته باشید می دونید که فایلهای apk در واقع یه سری فایل و فولدره که به صورت فشرده شده در اختیار کاربر قرار می گیره. شما می تونید با نرم افزارهایی مثل winrar و winzip محتویات پکیج رو ببینید.

تمامی نرم افزارهای اندروید باید دارای امضای دیجیتال باشند که کلید خصوصی اون دست توسعه دهنده نرم افزاره. این امضای به کار شناسایی و اطمینان از بی عیب بودن نرم افزار میاد. قبل از نصب هر اپ باید مطمئن شیم که توسط توسعه دهنده معتبر نوشته شده و بدون حذف و اضافه هم به دست ما رسیده. سیستم اندروید از سرتیفیکیت ها برای شناسایی نویسنده ها و برقراری ارتباط مناسب بین اپ ها استفاده می کنه. اندروید اجازه نمی ده نرم افزاری بدون امضای دیجیتال نصب بشه. بعد از نوشتن کد و امضای اون، شما یک پکیج آماده نصب خواهید داشت.

با یک مثال جلو می ریم. فرض کنید اپلیکیشنی به اسم MyFirstApp.apk رو روی شبیه ساز اندروید نصب می کنیم (می تونه هر نرم افزاری باشه).

نصب اپ روی امولاتور

این نرم افزار مثالی روکه با نرم افزارهای آرشیو باز بکنیم، چیزی مثل عکس زیر رو خواهیم دید:

محتویات فایل apk

همونطور که توی عکس بالا می بینید، درون پکیج یک فولدر به اسم META-INF وجود داره که درون اون چکسام های امضا شده کلیه فایل های پکیج موجوده. فایل مانیفست در فولدر اصلی هم اسم فایل های موجود در پکیج و اطلاعات خلاصه اونها رو در خودش داره. اگر هر کدوم از فایل های پکیج رو تغیر بدید، اندروید از نصب شدن اپ جلوگیری می کنه. اندروید برای این کار از کتابخونه آرشیو جاوا برای گسترش فایل apk و سپس مقایسه و تایید چکسام کلیه فایل های بسته استفاده می کنه.

محتویات فولدر متا اینف

خب برای مثال بریم و تصویر موجود در فولدر MyFirstApp.zip\res\drawable-hdpi که آیکن نرم افزاره رو تغییر بدیم و بعد سعی کنیم که نصبش کنیم.

جلوگیری اندروید از نصب شدن اپ

الان می رسیم به قسمت جالب قضیه. اینکه چطور این شیوه چک کردن سیستم اندروید رو دور بزنیم. برای اینکار کمی در شیوه چک کردن و نصب اپ ها در اندروید بیشتر بررسی می کنیم تا راهی رو پیدا کنیم برای نصب نرم افزار هایی که فایل هاشون تغییر کرده. مشکل از جایی شروع می شه که علیرغم جلوگیری نرم افزارهای آرشیو برای zip کردن فایل های هم نام، فرمت zip خودش این محدودیت رو نداره. از این مورد می شه استفاده کرد و apk ساخت که شامل فایل های هم نام باشه (عکس زیر).

فایل های هم نام در یک فولدر

حالا این فایل apk رو روی سیستم نصب می کنیم. می تونیم ببینیم که بدون مشکل نصب می شه و حتی آیکن نرم افزار نصب شده هم همون فایل جدیدیه که هکر وارد پکیج کرده.

نرم افزار هک شده که با موفقیت نصب شده

چطور این اتفاق افتاد؟
مشکل اینجاست که اندروید ورژن قدیمی فایل رو چک می کنه و امضاش رو تایید می کنه ولی نصاب جدیدترین فایل رو نصب می کنه. بنابراین فایل سالم وسیله اندروید چک می شه و اپ تایید می شه ولی زمان نصب، فایلی که هکر وارد کرده نصب می شه.

نتیجه خیلی وحشتناکه. اول اینکه کلیه نسخه های اندروید این مشکل رو دارند. نکته بعدی اینکه محدوده هک رو فقط ابتکار هکر مشخص می کنه. برای مثال هکر می تونه کلیه مکالمات شما رو شنود کنه، از طرف شما پیام بفرسته یا تماس تلفنی بگیره، می تونه با دوربین گوشیتون عکس و فیلم بگیره و برای خودش ایمیل کنه و غیره.

نرم افزار سیستمی که همراه سیستم عامل روی گوشی نصب می شن و دسترسی به فایل های سیستم دارن، نسبت به اپ هایی که توسط کاربر نصب می شن، برای هکر کارایی بیشتری دارند. تروجانی که همراه یک نرم افزار سیستمی نصب می شه می تونه به همه سیستم اندروید، نرم افزارها و فایل هاش دسترسی داشته باشه. هکر می تونه از این گزینه استفاده کنه و شبکه ای از تلفن هایی که به اینترنت متصل هستند رو در اختیار بگیره. گروه بلوباکس با استفاده از همین روش حتی تونستن اسم کرنل (هسته سیستم عامل) رو تغییر نام بدهند.

تغییرنام کرنل

شرکت سیمانتک اعلام کرده که هکرها با استفاده از توزیع بازیهای معروف در سایت های متفرقه به صورت گسترده ای از این شیوه سود برده اند. گوگل هم اکنون پچی برای برطرف کردن این مشکل ارائه کرده ولی همونطور که می دونید خیلی زمان می بره تا همه سازندگان گوشی ها هم مدل هاشون رو به‌روز کنند. همچنین گوگل داره کلیه نرم افزارهای گوگل پلی رو برای این ضعف امنیتی چک می کنه اما سایت های دیگه هم آیا این کار رو می کنند؟

چطور جلوگیری کنیم؟
اول اینکه از نویسینده و توزیع کننده نرم افزار مطمئن باشیم. تا جایی که ممکنه از گوگل پلی نرم افزارها رو بگیریم نه سایت های متفرقه و فروشگاه های ناشناخته و یا با پشتیبانی ضعیف. اجازه ندیم که نرم افار موقع نصب اقدام به نصب نرم افزارهای کناری بکنه. موبایل رو هم به آخرین نسخه ارائه شده اندروید به‌روز کنیم.

همچنین می تونید از گوگل پلی نرم افزار Blue Box Security Scanner ارائه شده وسیله گروه بلوباکس رو دانلود کنید. این نرم افزار گوشی شما رو چک میکنه و در صورت آسیب پذیر بودن بهتون اطلاع می ده. البته نرم افزارهای نصب شده رو هم چک می کنه.

چک سیستم برای این ضعف امنیتی

منبع