کمیته رکن چهارم – برنامههای محبوب اپل از لحاظ امنیتی بررسی شده و مشخص شده است که مستعد حملاتی هستند و تاکنون ۱۸ میلیون دانلود از این نرمافزارهای آسیبپذیر صورت گرفته است!
به گزارش کمیته رکن چهارم،امروزه نرمافزار تحت موبایل در دنیا بسیار رشد کرده و به جزء جداناپذیری از زندگی ما تبدیل شده است، اما نبود امنیت در این اپلیکیشنها مانند سرطان در حال رشد است.
بسیاری از این نرمافزارها از TLS (امنیت لایه انتقال) استفاده نمیکنند یا فعالیت آنها در حالت روشن نیز قابل رهگیری است. اسکن کد در اپاستور اپل به متخصصان امنیتی این اجازه را میدهد تا اطلاعات بیشتری در مورد امنیت نرمافزارها جمعآوری کنند.
در گزارش مرکز ماهر به بررسی ۷۶ اپلیکیشین محبوب iOS در اپاستور اپل پرداخته شده که مستعد حملات MITM (مرد میانی) هستند. در مجموع تا کنون بیش از ۱۸ میلیون دانلود از این نرمافزارهای آسیبپذیر صورت گرفته است.
درصد ریسک این آسیبپذیری برای ۷۶ نرمافزار بررسیشده، به صورت ۳۳ نرمافزار با درجه ریسک پایین، ۲۴ نرمافزار با درجه ریسک متوسط و ۱۹ نرمافزار با درجه بالا است.
برنامههای با درجه خطر پایین و بخش آسیبپذیر
برنامه ooVoo در قسمت ورود شامل نام کاربری و رمز عبور، برنامه VivaVideo در بخش نسخه سیستم عامل، مدل دستگاه و بخش جستوجو، برنامه Volify در بخش نسخه سیستم عامل، مدل دستگاه، نام نقطه اتصال به شبکه و اطلاعات باتری، برنامه Epic در بخش کلیدهای رمزنگاری، برنامه Mico در بخش آدرس ایمیل و نسخه سیستم عامل، برنامه Cash app در بخش نسخه سیستم عامل و نام نقطه اتصال شبکه، برنامه YeeCall Messenger در بخش آدرس ایمیل و شماره تلفن، برنامه Insta Repost در بخش اطلاعات تجزیه و تحلیلی، برنامه Cheetah Browser در بخش نسخه سیستم عامل، مدل دستگاه، موقعیت مکانی، کلید تکمیل خودکار، برنامه VPN Free در بخش لیست سرورها، اطلاعات سرورهایVPN و برنامهMusic Tube در بخش لیست ویدئوها و بخش جستوجو برنامههای با درجه خطر پایین هستند.
برنامهها با درجه خطر متوسط و بالا
تعداد زیادی از برنامههای که ریسک متوسط و بالا دارند متعلق به بانکها، مراکز پزشکی و توسعهدهندگان برنامههای کاربردی حساس هستند. در این گزارش با توجه به اهمیت این اپلیکیشنها و جلوگیری از عدم سوء استفاده از آنها، آسیبپذیریهای موجود را ارسال کرده است تا از این طریق توسعهدهندگان به رفع آنها بپردازند. از جمله این پروانهها میتوان به ShoreTel Mobility Client، ThreatMetrix SDK ، Experian، myFICO، Kaspersky Safe Browser و PayPal اشاره کرد.
روش حل مشکل
این دسته از آسیبپذیریها در گروه پیچیده قرار میگیرند و تنها توسعهدهندگان قادر به حل کامل آنها هستند و هیچ کاری از کاربر ساخته نیست. ضعف امنیتی بررسی شده مربوط به کدهای شبکه در برنامه و پیکربندی اشتباه آنها است. با توجه به ساختار کلی، سیستم App Transport Security در سیستم عامل iOS ارتباط را به عنوان یک اتصال معتبر TLS میبیند و به نرمافزار اجازه میدهد که از گواهینامه تایید اعتبار آن استفاده کند.
هیچ راهحلی برای این مشکل از سمت اپل وجود ندارد زیرا اگر در نرمافزار از این حالت استفاده نکنند به خودی خود باعث کاهش امنیت میشوند. عدم استفاده از یک گواهی PKI امن و تاییدشده در شبکه اینترنت مشکلساز خواهد بود و برنامه قابلیت ارتباط با دیگر سرویسدهندهها را از دست میدهد.
کاهش خطر برای کاربران، شرکتها، سازمانها و توسعهدهندگان
کاربرانی که از نرمافزارهای فوق استفاده میکنند باید توجه داشته باشند، آسیبپذیری ذکرشده معمولا روی شبکههای Wi-Fi عمومی و رایگان انجام میشود. به همین دلیل اگر در مکانهای عمومی مجبور به استفاده از نرمافزارهای مهم مانند اپلیکیشن بانک هستید Wi-Fi را خاموش کنید. در صورت نیاز به استفاده از اینترنت نیز از شبکه تلفن همراه استفاده کنید.
در صورتی که به یک سازمان یا شرکت اپلیکیشن خاصی را پیشنهاد میکنید اول با استفاده از سرویسهایی مانند verify.ly آسیبپذیر بودن آن را بررسی کنید. این عمل به منظور جلوگیری از بروز مشکلات در آینده بسیار کارساز است.
توسعهدهندگان نیز هنگام نوشتن کدهای شبکه در برنامه باید مراقب رفتار نرمافزار خود باشند. بسیاری از آسیبپذیریها به علت عدم آشنایی کامل توسعهدهندگان با کد و کپی کردن آن از وب است
منبع: