بررسی امنیتی 76 برنامه مخصوص گوشی های آیفونامروزه نرم افزار تحت موبایل در دنیا بسیار رشد نموده و به جزء جدا ناپذیری از زندگی ما تبدیل شده اند، اما نبود امنیت در این اپلیکیشن ها مانند سرطان در حال رشد است. بسیاری از این نرم افزار ها از TLS استفاده نمی کنند یا فعالیت آن ها در حالت روشن نیز قابل رهگیری است. اسکن باینری کد در apple app store به متخصصان امنیتی این اجازه را می دهد تا اطلاعات بیشتر در مورد امنیت نرم افزار ها جمع آوری کنند. ::: شرح آسیب پذیری در این مقاله به بررسی 76 اپلیکیشین محبوب IOS در Apple App Store میپردازیم که مستعد حملات MITM هستند. با توجه به تایید apptopia تا اکنون در مجموع بیش از 18 میلیون دانلود از این نرم افزار های آسیب پذیر صورت گرفته است. درصد ریسک این آسیب پذیری برای نرم افزار ها به شرح زیر است: 33 نرم افزار با درجه ریسک پایین 24 نرم افزار با درجه ریسک متوسط 19 نرم افزار با درجه بالا ::: برنامه ها با درجه خطر پایین و بخش آسیب پذیر ooVoo : قسمت ورود شامل نام کاربری و رمز عبور جو نسخه سیستم عامل، مدل دستگاه و بخش جست : VivaVideo Snap Upload For Snapchat : نام کاربری و رمز عبور Uconnect Access : تمامی نام کابری و رمز عبور نرم افزارهای Pandora وSlacker Volify : نسخه سیستم عامل، مدل دستگاه ، نام نقطه اتصال به شبکه و اطلاعات باطری Uploader Free For Snapchat : اطلاعات ارسالی از نرم افزار Epic : کلید های رمزنگاری Mico : آدرس ایمیل و نسخه سیستم عامل Safe Up For Snapchat : نام کاربری و رمز عبورSnap Chat Tencent Cloud : اطلاعات تجزیه و تحلیلی Uploader For Snap Chat : اطلاعات ارسالی از نرم افزار Huawei HiLink : نسخه سیستم عامل ، مدل دستگاه Vice News : نسخه سیستم عامل ، مدل دستگاه، First Party API Calls Trading 212 Forex & Stocks : نام کاربری 途牛旅游-订机票酒店火车票汽车票特价旅行 : نسخه سیستم عامل، مدل دستگاه، نام شبکه وایفای متصل شده Cash app: نسخه سیستم عامل و نام نقطه اتصال شبکه Clone of Legitimate Service : نسخه سیستم عامل، نسخه دستگاه ، کد شبکه موبایل و کد کشور 1000 Friends For Snap Chat : اطلاعات ارسالی از نرم افزار YeeCall Messenger : آدرس ایمیل و شماره تلفن Insta Repost : اطلاعات تجزیه و تحلیلی Loops Live : کد شبکه موبایل کد کشور Privat24 : نسخه سیستم عامل ، مدل دستگاه Private Browser : اطلاعات تجزیه و تحلیلی فیسبوک ، First Party API Calls Cheetah Browser : نسخه سیستم عامل ، مدل دستگاه ، موقعیت مکانی ، کلید تکمیل خودکار Aman Bank : Generic API Calls FirstBank PR Mobile Banking : بررسی API نسخه VPN Free : لیست سرور ها ، اطلاعات سرور هایVPN Gift Saga : نسخه سیستم عامل ، مدل دستگاه ، کد شبکه موبایل ، کد کشور Vpn One Click Professional : لیست سرور های VPN ، اطلاعات سرور هایVPN Music Tube : لیست ویدئو ها و بخش جست جو Auto Lotto : API Calls Foscam IP camera viewer : API Calls Code Scanner : نسخه سیستم عامل ، مدل دستگاه ، کد شبکه موبایل ، کد کشور ::: برنامه ها با درجه خطر متوسط و بالا تعداد زیادی از برنامه های که دارای ریسک متوسط و بالا هستند متعلق به بانک ها ، مراکز پزشکی و توسعه دهندگان برنامه های کاربردی حساس می باشند. نگارنده با توجه به اهمیت این اپلیکیشن ها و جلوگیری از عدم سوء استفاده از آن ها ، آسیب پذیری های موجود را برای mitre ارسال نموده است تا از این طریق توسعه دهندگان به رفع آن ها بپردازند. در لیست ذیل نرم افزار های که اقدام به رفع آسیب پذیری نموده اند بروزرسانی می گردد. ShoreTel Mobility Client for iOS ThreatMetrix SDK for iOS Experian myFICO Trend Micro Mobile Security for iOS U by BB&T Citrix iOS Receiver Kaspersky Safe Browser Dell SecureWorks Duo Mobile 14 iOS applications documented by Nick Arnott Cisco WebEx PayPal !::: روش حل مشکل این دسته از آسیب پذیری ها در گروه پیچیده قرار می گیرند و تنها توسعه دهندگان قادر به رفع کامل آن ها هستند، هیچ کاری از کاربر ساخته نیست. ضعف امنیتی بررسی شده مربوط به کد های شبکه در برنامه و پیکربندی اشتباه آن ها می باشد. با توجه به ساختار کلی ، سیستم App Transport Security در سیستم عامل IOS ارتباط را به عنوان یک اتصال معتبر TLS می بیند و به نرم افزار اجازه می دهد که از گواهینامه تایید اعتبار آن استفاده کند. هیچ راه حلی برای این مشکل از سمت اپل وجود ندارد زیرا اگر در نرم افزار از این حالت استفاده نکنند به خودی خود باعث کاهش امنیت می شوند. عدم استفاده از یک گواهی PKI امن و تایید شده در شبکه اینترنت مشکل ساز خواهد بود و برنامه قابلیت ارتباط با دیگر سرویس دهنده ها رو از دست می دهد. ::: کاهش خطر برای کاربران در صورتی که از نرم افزار های فوق استفاده می کند به نکاتی که در ادامه ذکر می گردد توجه داشته باشید. آسیب پذیری ذکر شده معمولاً بر روی شبکه های Wi-Fi عمومی و رایگان انجام می گیرید ، به همین دلیل اگر در مکان های عمومی مجبور به استفاده از نرم افزار های مهم مانند اپلیکیشن بانک هستید Wi-Fi را خاموش کنید. در صورت نیاز به استفاده از اینترنت ، از شبکه تلفن همراه استفاده نمایید. ::: کاهش خطر برای شرکت ها و سازمان ها در صورتی که به یک سازمان یا شرکت اپلیکیشن خاصی را پیشنهاد می کنید اول با استفاده از سرویس هایی مانند verify.ly آسیب پذیر بودن آن را بررسی نمایید. این عمل به منظور جلوگیری از بروز مشکلات در آینده بسیار کار ساز می باشد. ::: کاهش خطر برای توسعه دهندگان در هنگام نوشتن کد های شبکه در برنامه باید مراقب رفتار نرم افزار خود باشید. بسیاری از آسیب پذیری ها به علت عدم آشنایی کامل توسعه دهندگان با کد و کپی کردن آن از وب می باشد گردآوری و انتشار : آنتی ویروس دکتر وب |
توسط : drweb در تاریخ : 15-01-1396, 14:52 بازدیدها : 971
بازدید کننده گرامی ، بنظر می رسد شما عضو سایت نیستید
پیشنهاد می کنیم در سایت ثبت نام کنید و یا وارد سایت شوید .
پیشنهاد می کنیم در سایت ثبت نام کنید و یا وارد سایت شوید .