بررسی امنیتی ۷۶ برنامه مخصوص گوشی‌های آیفون
کد مطلب: 12299
تاریخ انتشار : دوشنبه ۲ اسفند ۱۳۹۵ ساعت ۱۶:۵۰
 
بررسی ۷۶ اپلیکیشین محبوب IOS در Apple App Store که مستعد حملات MITM هستند نشان می‌دهد که تعداد زیادی از برنامه‌هایی که دارای ریسک متوسط و بالا هستند متعلق به بانک‌ها، مراکز پزشکی و توسعه‌دهندگان برنامه‌های کاربردی حساس هستند.
بررسی امنیتی ۷۶ برنامه مخصوص گوشی‌های آیفون
 
 
Share/Save/Bookmark

بررسی ۷۶ اپلیکیشین محبوب IOS در Apple App Store که مستعد حملات MITM هستند نشان می‌دهد که تعداد زیادی از برنامه‌هایی که دارای ریسک متوسط و بالا هستند متعلق به بانک‌ها، مراکز پزشکی و توسعه‌دهندگان برنامه‌های کاربردی حساس هستند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، امروزه نرم‌افزار تحت موبایل در دنیا بسیار رشد کرده‌اند و به جزء جداناپذیری از زندگی ما تبدیل شده‌اند، اما نبود امنیت در این اپلیکیشن‌ها مانند سرطان در حال رشد است. بسیاری از این نرم‌افزار ها از TLS استفاده نمی‌کنند یا فعالیت آنها در حالت روشن نیز قابل رهگیری است. اسکن باینری کد در apple app store به متخصصان امنیتی این اجازه را می‌دهد تا اطلاعات بیشتر در مورد امنیت نرم‌افزارها جمع‌آوری کنند. 

در اینجا به بررسی ۷۶ اپلیکیشین محبوب IOS در Apple App Store می‌پردازیم که مستعد حملات MITM هستند. با توجه به تایید apptopia تا اکنون در مجموع بیش از ۱۸ میلیون دانلود از این نرم‌افزار های آسیب‌پذیر صورت گرفته‌است.
درصد ریسک این آسیب‌پذیری برای ۳۳ نرم‌افزار با درجه ریسک پایین، ۲۴ نرم‌افزار با درجه ریسک متوسط و ۱۹ نرم‌افزار با درجه بالا تشریح شده‌است.

برنامه‌های با درجه خطر پایین و بخش آسیب‌پذیر به شرح ذیل هستند:
ooVoo : قسمت ورود شامل نام کاربری و رمز عبور
VivaVideo: مدل دستگاه و بخش جستجو نسخه سیستم عامل
Snap Upload For Snapchat : نام کاربری و رمز عبور
Uconnect Access : تمامی نام کاربری و رمز عبور نرم‌افزارهای Pandora و Slacker
Volify : نسخه سیستم‌عامل، مدل دستگاه، نام نقطه اتصال به شبکه و اطلاعات باطری
Uploader Free For Snapchat : اطلاعات ارسالی از نرم‌افزار
Epic : کلیدهای رمزنگاری
Mico : آدرس ایمیل و نسخه سیستم‌عامل
Safe Up For Snapchat : نام کاربری و رمز عبور Snap Chat
Tencent Cloud : اطلاعات تجزیه‌و‌تحلیلی
Uploader For Snap Chat : اطلاعات ارسالی از نرم‌افزار
Huawei HiLink : نسخه سیستم‌عامل، مدل دستگاه
Vice News : نسخه سیستم‌عامل ، مدل دستگاه، First Party API Calls
Trading ۲۱۲ Forex & Stocks : نام کاربری
途牛旅游-订机票酒店火车票汽车票特价旅行 : نسخه سیستم‌عامل، مدل دستگاه، نام شبکه وای‌فای متصل‌شده
Cash app: نسخه سیستم‌عامل و نام نقطه اتصال شبکه
Clone of Legitimate Service : نسخه سیستم‌عامل، نسخه دستگاه، کد شبکه موبایل و کد کشور
۱۰۰۰ Friends For Snap Chat : اطلاعات ارسالی از نرم‌افزار
YeeCall Messenger : آدرس ایمیل و شماره تلفن
Insta Repost : اطلاعات تجزیه‌و‌تحلیلی
Loops Live : کد شبکه موبایل کد کشور
Privat۲۴ : نسخه سیستم‌عامل، مدل دستگاه
Private Browser : اطلاعات تجزیه‌و‌تحلیلی فیس‌بوک ، First Party API Calls
Cheetah Browser : نسخه سیستم‌عامل، مدل دستگاه، موقعیت مکانی، کلید تکمیل خودکار
Aman Bank : Generic API Calls
FirstBank PR Mobile Banking : بررسی API نسخه
VPN Free : لیست سرورها، اطلاعات سرورهای VPN
Gift Saga : نسخه سیستم‌عامل، مدل دستگاه، کد شبکه موبایل، کد کشور
Vpn One Click Professional : لیست سرورهای VPN، اطلاعات سرورهای VPN
Music Tube : لیست ویدئوها و بخش جستجو
Auto Lotto : API Calls
Foscam IP camera viewer : API Calls
Code Scanner : نسخه سیستم‌عامل، مدل دستگاه، کد شبکه موبایل، کد کشور 

برنامه‌ها با درجه خطر متوسط و بالا
تعداد زیادی از برنامه‌هایی که دارای ریسک متوسط و بالا هستند متعلق به بانک‌ها، مراکز پزشکی و توسعه‌دهندگان برنامه‌های کاربردی حساس هستند. نگارنده با توجه به اهمیت این اپلیکیشن‌ها و جلوگیری از سوء‌استفاده، آسیب‌پذیری‌های موجود را برای mitre ارسال کرده‌است تا از این طریق توسعه‌دهندگان به رفع آنها بپردازند. 

برخی  نرم‌افزار‌هایی که اقدام به رفع آسیب‌پذیری کرده‌اند، عبارت‌اند از:  
ShoreTel Mobility Client for iOS، ThreatMetrix SDK for iOS ،Experian، myFICO ،PayPal، Trend Micro Mobile Security for iOS ، Dell SecureWorks ،Kaspersky Safe Browser ،U by BB&T ،Citrix iOS Receiver،Duo Mobile،،Cisco WebEx و  iOS applications documented by Nick Arnott14.

روش حل مشکل
این دسته از آسیب‌پذیری‌ها در گروه پیچیده قرار می‌گیرند و تنها توسعه‌دهندگان قادر به رفع کامل آنها هستند، هیچ کاری از کاربر ساخته نیست. ضعف امنیتی بررسی‌شده مربوط به کد‌های شبکه در برنامه و پیکربندی اشتباه آنها است. با توجه به ساختار کلی، سیستم App Transport Security در سیستم‌عامل IOS ارتباط را به‌عنوان یک اتصال معتبر TLS می‌بیند و به نرم‌افزار اجازه می‌دهد که از گواهی‌نامه تایید اعتبار آن استفاده‌کند. هیچ راه‌حلی برای این مشکل از سمت اپل وجود ندارد، زیرا اگر در نرم‌افزار از این حالت استفاده نکنند به‌خودی‌خود باعث کاهش امنیت می‌شوند. عدم استفاده از یک گواهی PKI امن و تایید‌شده در شبکه اینترنت مشکل‌ساز خواهد‌بود و برنامه قابلیت ارتباط با دیگر سرویس‌دهنده‌ها را از دست می‌دهد. 

کاهش خطر برای کاربران
درصورتی‌که از نرم‌افزار‌های فوق استفاده می‌کنید به نکاتی که در ادامه می‌آید، توجه داشته‌باشید. آسیب‌پذیری ذکر شده معمولاً بر روی شبکه‌های Wi-Fi عمومی و رایگان انجام می‌گیرد. به همین دلیل اگر در مکان‌های عمومی مجبور به استفاده از نرم‌افزار‌های مهم مانند اپلیکیشن بانک هستید Wi-Fi را خاموش کنید. در‌صورت نیاز به استفاده از اینترنت از شبکه تلفن همراه استفاده کنید. 

کاهش خطر برای شرکت‌ها و سازمان‌ها
درصورتی‌که اپلیکیشن خاصی را به یک سازمان یا شرکت پیشنهاد می‌کنید اول با استفاده از سرویس‌هایی مانند verify.ly آسیب‌پذیری آن را بررسی کنید. این عمل به منظور جلوگیری از بروز مشکلات در آینده بسیار کارساز است. 

کاهش خطر برای توسعه‌دهندگان
در هنگام نوشتن کدهای شبکه در برنامه باید مراقب رفتار نرم‌افزار خود باشید. بسیاری از آسیب‌پذیری‌ها به علت عدم آشنایی کامل توسعه‌دهندگان با کد و کپی‌کردن آن از وب پیش می‌آیند.

مرجع : مرکز ماهر