افشاء داده‌های متنی و تماس‌های تلفنی در نتیجه‌ی آسیب‌پذیری Eavesdropper در نرم‌افزار‌های تلفن همراه

کمیته رکن چهارم – توسعه‌دهندگان برنامه‌ی تلفن همراه که با استفاده از بستر مبتنی‌بر ابر Twilio کدنویسی می‌کنند، فراموش کرده‌اند که گواهی‌نامه‌های هاردکد شده‌ی خود را حذف کنند، و داده‌های کسب وکارها را در معرض خطر قرار داده‌اند.

این آسیب‌پذیری که Eavesdropper نام دارد و چند روز پیش توسط شرکت کشف شد، از حدود سال ۲۰۱۱ میلادی وجود داشته و در برنامه‌هایی که بیش از ۲۰۰ میلیون بارگیری شده‌اند، شناسایی شده است. 

پژوهش‌گران در ماه جولای این آسیب‌پذیری را به صورت محرمانه گزارش کردند؛ آن‌ها ۶۸۵ برنامه‌ی سازمانی پیدا کردند (۵۶ درصد آن‌ها برنامه‌های iOS بودند) که به حساب ۸۵ نفر از توسعه‌دهندگان شرکت Twilio مرتبط بودند. بیشتر این برنامه‌ها از فروشگاه‌های اپل و گوگل حذف شده‌اند، اما از ماه آگوست تا کنون هنوز ۷۵ برنامه در گوگل‌پلی و ۱۰۲ برنامه در اَپ‌اِستور شرکت اپل باقی مانده‌اند.

شرکت Appthority گفت: «برنامه‌های اندرویدی که تحت تاثیر این آسیب‌پذیری بوده‌اند، بیش از ۱۸۰ میلیون بار دانلود شده‌اند. تقریبا ۳۳ درصد از برنامه‌هایی که دارای آسیب‌پذیری Eavesdropper هستند، به کسب‌ و کارها مربوط می‌شوند. این آسیب پذیری از سال ۲۰۱۱ میلادی وجود داشته است. در نتیجه‌ی این آسیب‌پذیری صدها میلیون سابقه‌ تماس، مدت زمان تماس‌ و ضبط‌ صوتی تماس، و پیام‌ متنی افشاء شده‌اند.»

شرکت Appthority گفت:‌ «گواهی‌نامه‌های هاردکدشده موجب می‌شوند که یک مهاجم به فراداده‌های موجود در حساب‌های توسعه‌دهنده‌گان Twilio از جمله پیام‌های متنی، فراداده‌‌ی تماس و ضبط تماس دسترسی سراسری داشته باشند.»

این شرکت افزود: «آسیب‌پذیری Eavesdropper داده‌های سازمان‌ها را در معرض خطر جدی قرار می‌دهد، زیرا یک مهاجم احتمالی می‌تواند به اطلاعات حساس درباره‌ی معاملات تجاری یک شرکت دسترسی پیدا کند و از این اطلاعات برای اِعمال تحریم و یا کسب سود شخصی استفاده کند. شرکت Appthority به هیچ یک از تماس‌های ضبط‌‌شده گوش نداده است، اما براساس نوع برنامه‌های آسیب پذیر، بعید نیست که در این تماس‌ها تراکنش‌های تجاری حساس مورد بحث و بررسی قرار گرفته باشند. یک مهاجم با انگیزه که دارای ابزارهای خودکار تبدیل صوت به متن باشد، می‌تواند با جست‌وجوی کلمات کلیدی خاصی داده‌های ارزشمندی را به دست آورد.»

شرکت Twilio اسنادی را منتشر کرده و طی آن‌ها راهنمایی‌هایی در مورد ایمن‌سازی گواهی‌نامه‌ها ارائه کرده است.

شرکت Twilio در بیانیه‌ای گفت: «هاردکد کردن گواهی‌نامه‌های واسط‌های برنامه‌نویسی بیشتر از این‌که یک آسیب‌پذیری باشد، یک شیوه‌ی کدنویسی ضعیف است، و این مسأله برای صنایع واسط‌های برنامه‌نویسی و امنیت قابل درک است. ما مدتی است که در سراسر مستندسازی و توسعه‌ی محصولاتمان از این شیوه استفاده نمی‌کنیم. شرکت Appthority برنامه‌هایی را شناسایی کرده است که در محیط‌های مشتریان خود اجرا می‌شوند، یعنی محیط‌هایی که توسعه‌دهندگان از این شیوه‌ی ضعیف استفاده کرده‌اند، و این نشان‌دهنده‌ی یک بخش بسیار کوچکی از مجموع حساب‌های Twilio است.»

به گفته‌ی شرکت Appthority، یک مهاجم ابتدا نیاز دارد که برنامه‌های سازمانی که تحت تاثیر این آسیب‌پذیری قرار دارند و توسط شرکت Twilio ساخته شده‌اند را پیدا کند. به عنوان مثال، با استفاده از قواعد YARA یک مهاجم می‌تواند رشته‌های خاصی را جست‌وجو کند تا شناسه‌ها، نشانه‌‌ها و یا گذرواژه‌هایی را شناسایی کند که توسعه‌دهندگان را در این بستر تصدیق می‌کنند. وقتی مهاجم توانست به یک حساب دسترسی پیدا کند، خارج کردن تماس‌ها و پیام‌های متنی از شبکه کار سختی نیست.

شرکت Appthority گفت: «یک مهاجم فقط نیاز دارد که اقدامات شناسایی، بهره‌برداری را انجام دهد و سپس داده‌ها را از شبکه خارج کند. نیاز نیست که اقدامات پیچیده‌ای برای بهره‌برداری از این اشکال امنیتی انجام شود، زیرا این پرونده‌ها محافظت‌شده نیستند. وقتی پرونده‌های صوتی و متنی از شبکه خارج شدند، مهاجم می‌تواند یک اسکریپت ساده برای تبدیل پرونده‌های صوتی به متن اجرا کند و کلمات کلیدی خاصی را در این متن‌ها جست‌وجو کند، و از این طریق به داده‌های حساس یا اختصاصی دسترسی پیدا کند.»

شرکت Twilio گفت: «این شرکت به تمام مشتریانی که از برنامه‌هایی که توسط شرکت Appthority شناسایی شده است هشدار داده و با آن‌ها همکاری کرده است تا کلیدهای واسط‌های برنامه‌نویسی خود را تغییر دهند و راه‌حل‌های ایمن را راه‌اندازی کنند.»

شرکت Twilio گفت:‌ «هیچ مدرکی مبنی‌بر این‌که یک مهاجم توانسته باشد به داده‌هایی که از طریق این برنامه‌های آسیب‌پذیر به اشتراک گذاشته می‌شوند، دسترسی پیدا کند، وجود ندارد. بسیاری از این برنامه‌ها توسط توسعه‌دهندگان آن‌ها از کار انداخته شده‌اند. باز هم می‌گوییم، این یک نمونه از شیوه‌ی کدنویسی ضعیف است و به هیچ وجه فقط توسط شرکت Twilio مورد استفاده قرار نمی‌گیرد.»

در اوایل سال جاری، شرکت Appthority آسیب‌پذیری Hospital Gown را کشف کرد، که مربوط به شکست توسعه‌دهندگان در ایمن‌سازی ارتباطات کارگزارها با برنامه‌های تلفن همراه بود. بسیاری از این کارگزارها روی بسترهایی مانند Elasticsearch، MongoDB، و MySQL هستند. شرکت Appthority اعلام کرد که ۲۱ هزار کارگزار Elasticsearch پیدا کرده‌ که تحت تاثیر این آسیب‌پذیری قرار گرفته‌اند و ۴۳ ترابایت داده افشاء شده است.

منبع : news.asis.io

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد.


Type The Red Captcha Characters Below.