محققان امنیتی آسیبپذیریهایی را در برخی از اپلیکیشنهای حوزه سلامت کشف کردند.
آسیبپذیری اپلیکیشنهای حوزه سلامت در برابر نفوذ هکرها
سایبربان , 2 اسفند 1399 ساعت 15:00
محققان امنیتی آسیبپذیریهایی را در برخی از اپلیکیشنهای حوزه سلامت کشف کردند.
محققان امنیتی آسیبپذیریهایی را در برخی از اپلیکیشنهای حوزه سلامت کشف کردند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، محققان شرکت امنیتی Knight Ink و شرکت حفاظت از رابطهای API تلفن همراه Approov اعلام کردند اپلیکیشنهای سلامت همراه در برابر حملات سایبری به رابطهای برنامهنویسی کاربردی یا همان API آسیبپذیر هستند. مهاجمان میتوانند با حمله به رابطهای این برنامهها به اطلاعات پزشکی و شخصی کاربران دسترسی پیدا کنند.
محققان در تحقیقات خود ۳۰ اپلیکیشن محبوب سلامت همراه با ۷۷۲ هزار بار میانگین دانلود مورد تجزیهوتحلیل قرارداده و به این نتیجه رسیدند در این برنامهها پین گواهینامهها انجام نشده و کاربران در معرض حملات مردمیانی قرارگرفتهاند.
بر طبق گزارش شرکتهای مذکور، ۷۷ درصد از برنامهها فاقد کلیدهای ایپیآی، توکن و اعتبارنامه هستند. یکچهارم برنامهها در برابر مهندسی معکوس محافظت نشدهاند.
تمام نقاط پایانی ایپیآی برنامهها در برابر حملات صدور مجوز شکسته «Broken object level authorization- BOLA» آسیبپذیر هستند و امکان دسترسی مهاجمان به اطلاعات کاربر همچون آدرس، تاریخ تولد، شماره بیمه، داروهای مصرفی و حساسیتهای بیمار را فراهم میسازند. نیمی از رابطهای تستشده دسترسی به اطلاعات پاتولوژی، اشعه ایکس و نتایج بالینی بیماران را نیز میسر میسازد.
در حملات مذکور هکرها با سرقت اطلاعات ورود به سیستم و اعتبارنامههای کاربران در پوشش کاربر مجاز عمل میکنند و صدور مجوز در رابطه با دادهها، آنطور که باید انجام نمیشود و دسترسی غیرمجاز به دادهها فراهم میگردد.
کد مطلب: 17549