امنیت

مشکل امنیتی اندروید ۴.۴

پیش از این در مورد یک ضعف امنیتی در اندروید گفتم که در همه نسخه های اون موجود بود و با استفاده از اون هکر می تونست فایل مخرب خودش رو به اسم یک نرم افزار شناخته شده جا بزنه. پس از کشف اون مورد، گوگل یه بررسی مجدد روی تمام اپلیکیشن های موجود در گوگل پلی انجام داد و یه تعداد که از این مورد برای گسترش بدافزار استفاده کرده بودند رو حذف کرد. همچنین روند ثبت اپلیکیشن ها رو تغییر داد که مطمئن بشه اپلیکیشن های جدید این مشکل رو نداشته باشند.

این ضعف امنیتی تا نسخه ۴.۳ با اندروید بود و ۹۹ درصد دستگاههای اندرویدی رو در بر می گرفت. گوگل اما در نسخه ۴.۴ این ضعف رو برطرف کرد.

با ارائه کد اندروید ۴.۴، یک محقق اعلام کرد که این نسخه نیز ضعف امنیتی مشابه نسخه های قبلی داره. جی فریمن برای اثبات یک اسکریپت پایتون نوشته که تصویرش رو می تونید ببینید:

Android Master Key vulnerability exploit

همونطور که در اسکریپت می بینید اون میاد دوتا فایل apk  رو به عنوان فایل جدید (که حاوی بدافزاره) و فایل قدیمی می گیره. هکر مشخص می کنه که کدوم فایل رو از بسته اصلی می خواد تغییر بده و چه تغییری می خواد بده. این کد هم کل فایل بسته اصلی رو در بسته جدید قرار می ده و فقط اون فایل خاص رو که رسید اول دیتای فایل اصلی رو می ریزه و سپس دیتای مورد نظر هکر رو رو به انتها اضافه می کنه.

در این روش کلید رمزگذاری فایل apk دستنخورده باقی می مونه و از آنجایی که سطح دسترسی اپلیکیشن های اندرویدی با استفاده از این کلید چک می شه، اگر هکر یک اپلیکیشن سیستمی رو تغییر بده، بدافزار تولید شده از طرف سیستم عامل مجاز به دسترسی به همه فایل های سیستم خواهد بود.

تنها کاری که الان می شه کرد اینه که فقط از گوگل پلی اپلیکیشن ها رو دانلود کنید و به هیچ عنوان از سایت های ناشناخته و یا سرویس های اشتراک گذاری فایل اپلیکیشنی رو دانلود و نصب نکنید.

منبع

Standard
امنیت

آشفته بازار طراحی سایت – پست تکمیلی

پیش از این در پست دیگری به دو سایت اشاره کردم که پسورد کاربرها رو به صورت “متن ساده” یا Plain Text ذخیره می‌کنند. نکته تاسف برانگیز این بود که این سایت ها متعلق به دو آموزشگاه معتبر برنامه‌نویسی در تهران بودند.

روز گذشته یه سوال به ذهنم اومد. اینکه این سایت ها که پسورد رو بدون رمزگذاری نگهداری می کنند آیا موقع ارسال به سرور هم رمزگذاری نمی‌کنند؟

با استفاده از افزونه Live HTTP Headers در فایرفاکس، مقادیر ارسالی این سایت ها رو در زمان لاگین کردن بررسی کردم. همونطور که در عکس های زیر می‌بینید متاسفانه هر دو سایت، اطلاعات کاربری من رو به صورت واضح و بدون کوچکترین رمزگذاری یا پیچیدگی منتقل می‌کنند.

مقادیر ارسالی سایت آموزشگاه دانشگاه شریف

مقادیر ارسالی سایت آموزشگاه دانشگاه شریف

مقادیر ارسالی سایت مجتمع فنی تهران

مقادیر ارسالی سایت مجتمع فنی تهران

مشکل کجاست؟

اطلاعاتی که از براوزر ما به سرور سایت می ره تا بررسی و صحت و سقمش بررسی بشه از چند نقطه می گذره. مهمترین هاش برای مثال مودم وایرلس، ISP، مرکز سرویس دهنده به ISP و جاهای دیگه است تا برسه به سرور سایت و اون هم برسونه به سایت مربوطه.

swiss-chart-ENG

توی هرکدوم از این نقاط می‌شه کلیه اطلاعات ارسالی و دریافتی رو بررسی کرد. اگر این اطلاعات رمزگذاری نباشند بدون کوچکترین زحمتی در اختیار افراد دیگه قرار می‌گیرند. فکر کنید یه همسایه فضول دارید که مودم وایرلس رو هک کرده، اون می تونه همه پسوردهای شما رو داشته باشه به شرطی که رمزگذاری نشده باشند.

اصلا چرا راه دور بریم، همین دعواهای یک ماه گذشته در مورد NSA رو که شنیدید. خب اون به خاطر اینکه وسعت خیلی زیادی داشت و وسیله یک کشور به اصطلاح قانونمند انجام می شد کلی سر و صدا کرد ولی کشورهای دیگه (هند برای مثال) در سطحی کوچک تر اینکار رو می کنند و اطلاعات کاربران کشور رو بررسی می‌کنند.

اینجا دوباره برمی گردیم به سوال اصلی. آیا گردانندگان این سایت ها برای امنیت اطلاعات کاربران ارزشی قایل هستند؟

به‌روز رسانی:

نوشته بالا مربوط به ۶ مرداد بود. امروز ۱۱ مرداد ایمیلی دریافت کردم که نشون دهنده هک شدن سایت آموزشگاه دانشگاه شریف بود. به قول معروف هک شدن از رگ گردن به سایت شما نزدیک‌تره 🙂

ایمیل ارسالی از طرف هکر سایت آموزشگاه دانشگاه شریف

ایمیل ارسالی از طرف هکر سایت آموزشگاه دانشگاه شریف

نکته جالب می دونید چیه؟ از متن ایمیل ارسالی اینطور برمیاد که هکر دبیرستانیه. حالا باید دید مدیر سایت چه تدبیری برای بالا بردن امنیت سایتش به کار می بره. از ایمیل های بعدی هکر مشخصه که ادمین فقط پسورد رو عوض کرده و هکر همچنان کنترل رو در دست داره. امیدوارم آسیب جدی نبینه این سایت.

Standard