آسیبپذیری Eavesdropper در نرمافزارهای تلفن همراه باعث افشای دادههای متنی و تماسهای تلفنی میشود.
منبع : وبگاه اخبار امنیتی فنآوری اطلاعات و ارتباطات
آسیبپذیری Eavesdropper در نرمافزارهای تلفن همراه باعث افشای دادههای متنی و تماسهای تلفنی میشود.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، توسعهدهندگان برنامه تلفن همراه که با استفاده از بستر مبتنیبر ابر Twilio کدنویسی میکنند، فراموش کردهاند که گواهینامههای هاردکد شده خود را حذف کنند و دادههای کسبوکارها را در معرض خطر قرار دادهاند.
این آسیبپذیری که Eavesdropper نام دارد و چندروز پیش توسط شرکت کشف شد از حدود سال ۲۰۱۱ میلادی وجود داشت و در برنامههایی که بیش از ۲۰۰ میلیون بارگیری شدهاند، شناسایی شدهاست.
پژوهشگران در ماه جولای این آسیبپذیری را بهصورت محرمانه گزارش کردند. آنها ۶۸۵ برنامه سازمانی پیدا کردند (۵۶ درصد آنها برنامههای iOS بودند) که به حساب ۸۵ نفر از توسعهدهندگان شرکت Twilio مرتبط بودند. بیشتر این برنامهها از فروشگاههای اپل و گوگل حذف شدهاند، اما از ماه آگوست تاکنون هنوز ۷۵ برنامه در گوگلپلی و ۱۰۲ برنامه در اپاستور شرکت اپل باقی ماندهاند.
شرکت Appthority گفت: «برنامههای اندرویدی که تحتتاثیر این آسیبپذیری بودهاند، بیش از ۱۸۰ میلیون بار دانلود شدهاند. تقریبا ۳۳ درصد از برنامههایی که دارای آسیبپذیری Eavesdropper هستند به کسبوکارها مربوط میشوند. این آسیبپذیری از سال ۲۰۱۱ میلادی وجود داشتهاست. در نتیجه این آسیبپذیری صدها میلیون سابقه تماس، مدت زمان تماس و ضبط صوتی تماس و پیام متنی افشا شدهاند.»
شرکت Appthority گفت: «گواهینامههای هاردکدشده موجب میشوند که یک مهاجم به فرادادههای موجود در حسابهای توسعهدهندهگان Twilio ازجمله پیامهای متنی، فراداده تماس و ضبط تماس دسترسی سراسری داشتهباشند.»
این شرکت افزود: «آسیبپذیری Eavesdropper دادههای سازمانها را در معرض خطر جدی قرار میدهد، زیرا یک مهاجم احتمالی میتواند به اطلاعات حساس درباره معاملات تجاری یک شرکت دسترسی پیدا کند و از این اطلاعات برای اِعمال تحریم و یا کسب سود شخصی استفاده کند. شرکت Appthority به هیچ یک از تماسهای ضبطشده گوش ندادهاست، اما بر اساس نوع برنامههای آسیبپذیر، بعید نیست که در این تماسها تراکنشهای تجاری حساس مورد بحث و بررسی قرار گرفتهباشند. یک مهاجم باانگیزه که دارای ابزارهای خودکار تبدیل صوت به متن باشد، میتواند با جستوجوی کلمات کلیدی خاصی دادههای ارزشمندی را بهدست آورد.»
شرکت Twilio اسنادی را منتشر کرده و طی آنها راهنماییهایی در مورد ایمنسازی گواهینامهها ارائه کردهاست.
شرکت Twilio در بیانیهای گفت: «هاردکد کردن گواهینامههای واسطهای برنامهنویسی بیشتر از اینکه یک آسیبپذیری باشد، یک شیوه کدنویسی ضعیف است و این مسئله برای صنایع واسطهای برنامهنویسی و امنیت قابل درک است. ما مدتی است که در سراسر مستندسازی و توسعه محصولاتمان از این شیوه استفادهنمیکنیم. شرکت Appthority برنامههایی را شناسایی کردهاست که در محیطهای مشتریان خود اجرا میشوند، یعنی محیطهایی که توسعهدهندگان از این شیوه ضعیف استفادهکردهاند و این نشاندهنده یک بخش بسیار کوچکی از مجموع حسابهای Twilio است.»
به گفته شرکت Appthority، یک مهاجم ابتدا نیاز دارد که برنامههای سازمانی را پیدا کند که تحتتاثیر این آسیبپذیری قرار دارند و توسط شرکت Twilio ساخته شدهاند. به عنوان مثال با استفاده از قواعد YARA یک مهاجم میتواند رشتههای خاصی را جستوجو کند تا شناسهها، نشانهها و یا گذرواژههایی را شناسایی کند که توسعهدهندگان را در این بستر تصدیق میکنند. وقتی مهاجم توانست به یک حساب دسترسی پیدا کند، خارج کردن تماسها و پیامهای متنی از شبکه کار سختی نیست.
شرکت Appthority گفت: «یک مهاجم فقط نیاز دارد که اقدامات شناسایی، بهرهبرداری را انجامدهد سپس دادهها را از شبکه خارج کند. نیاز نیست که اقدامات پیچیدهای برای بهرهبرداری از این اشکال امنیتی انجام شود، زیرا این پروندهها محافظتشده نیستند. وقتی پروندههای صوتی و متنی از شبکه خارج شدند، مهاجم میتواند یک اسکریپت ساده برای تبدیل پروندههای صوتی به متن اجرا کند و کلمات کلیدی خاصی را در این متنها جستوجو کند و از این طریق به دادههای حساس یا اختصاصی دسترسی پیدا کند.»
شرکت Twilio گفت: «این شرکت به تمام مشتریانی که از برنامههایی که توسط شرکت Appthority شناسایی شدهاست هشدار داده و با آنها همکاری کردهاست تا کلیدهای واسطهای برنامهنویسی خود را تغییر دهند و راهحلهای ایمن را راهاندازی کنند. هیچ مدرکی مبنیبر اینکه یک مهاجم توانستهباشد به دادههای بهاشتراک گذاشتهشده از طریق این برنامههای آسیبپذیر، دسترسی پیدا کند، وجود ندارد. بسیاری از این برنامهها توسط توسعهدهندگان آنها از کار انداخته شدهاند. باز هم میگوییم، این یک نمونه از شیوه کدنویسی ضعیف است و به هیچ وجه فقط توسط شرکت Twilio مورد استفاده قرار نمیگیرد.»
در اوایل سال جاری، شرکت Appthority آسیبپذیری Hospital Gown را کشف کرد که مربوط به شکست توسعهدهندگان در ایمنسازی ارتباطات کارگزارها با برنامههای تلفن همراه بود. بسیاری از این کارگزارها روی بسترهایی مانند Elasticsearch ،MongoDB و MySQL هستند. شرکت Appthority اعلام کرد که ۲۱ هزار کارگزار Elasticsearch پیدا کرده که تحتتاثیر این آسیبپذیری قرار گرفتهاند و ۴۳ ترابایت داده افشا شدهاست.