کنفرانس Black Hat 2015
محققان امنیتی با نفوذ به آندروید کنترل کامل اسمارت‌فون را به‌دست گرفتند
موجی از مشکلات امنیتی در ارتباط با دستگاه‌ها، ماشین‌ها و حتا لوازم جانبی توسط محققان شناسایی شده است. این محققان موفق به شناسایی آسیب‌پذیری‌های مختلفی در دستگاه‌های جانبی شده‌اند. آن‌ها نتایج تحقیقات خود را در کنفرانس امنیتی Black Hat در معرض دید مخاطبان قرار دادند. آسیب‌پذیری‌ها در قالب Certifi-gate منتشر شده‌اند.

1606683296_1_0.gif

Certifi-gate چیست؟

Certifi-Gate مجموعه‌ای از آسیب‌پذیری‌های موجود در روش‌های تصدیق هویت مابین ابزار پشتیبانی از راه دور موبایل (mRTS) و افزونه‌های سطح سیستمی یک دستگاه است. برای پیاده‌سازی پشتیبانی از راه دور، یک ابزار mRTS باید تا حد امکان داده‌های زیادی را از دستگاهی که باید به آن خدمت‌رسانی کند، در اختیار داشته باشد. برای انجام این‌کار mRTS نیازمند به‌دست آوردن مجوزهایی است که مورد تأیید برنامه‌های سیستمی قرار دارند. این مجوزها را در جدول زیر مشاهده می‌کنید.

 Action

Permissions

App installation

INSTALL_PACKAGES

Screen access

READ_FRAME_BUFFER

ACCESS_SURFACE_FLINGER

Inject user events

INJECT_EVENTS

 

اما این برنامه‌های کنترل‌کننده از راه دور خود به دو گروه تقسیم می‌شوند:

برنامه اصلی (Main App): برنامه‌ای که توسط سازنده دستگاه امضاء شده است و شامل منطق تجاری، ارتباطات سروری، رابط کاربری و ... می‌شود.

افزونه‌ (Plugin): یک برنامه امضاء شده توسط سازنده تجهیزات اصلی (OEM) بوده که در اصل یک سرویس خارجی را که  مورد استفاده Binder است، فراهم می‌کند. افزونه‌ای که توانایی به‌دست آوردن مجوزها را داشته و به برنامه اصلی کمک می‌کند به توابعی که نیازمند مجوز بوده ولی توسط شرکت سازنده امضاء نشده‌‌اند، دسترسی داشته باشد. سازندگان ثالث، کپی‌های مختلفی از افزونه‌ها را در اختیار سازندگان تجهیزات اصلی (OEM) ارائه می‌دهند. شکل زیر ارتباط مابین یک برنامه اصلی و یک افزونه را نشان می‌دهد.

مشکلات موجود در معماری جاری mRSTها

از جمله مشکلات مرتبط با mRST‌ها به موارد زیر می‌توان اشاره کرد:

سازنده تجهیزات اصلی (OEM) باید افزونه را امضاء کند.

عدم توانایی در ابطال گواهی (آندورید فاقد مکانیزم ابطال گواهی است.)

مجوزها به سادگی صادر می‌شوند

افزونه یک سرویس خارجی محسوب می‌شود

فقدان وجود توابع تأیید کننده ( آندروید هیچ‌گونه روشی که صحت یک برنامه کاربردی که اقدام به ارسال داده‌ها به سمت Binder می‌کند را ندارد.)

mRSها چه هستند؟

 mRTS (سرنام Mobile Remote Support Tools) ابزارهایی هستند که به پرسنل یک شرکت این توانایی را می‌دهند تا از راه دور به مشتریان شرکت خدمات فنی ارائه کنند. برای این منظور این برنامه‌ها اقدام به جایگزین کردن صفحه‌نمایش یک دستگاه و شبیه‌سازی کلیک‌ها روی یک دستگاه کنسول می‌کنند. اما اگر این روش مورد سوء استفاده قرار گیرد، Certifi-gate به برنامه‌های مخرب اجازه می‌دهد تا دسترسی نامحدود را بدون وجود هیچ هشداری با حداکثر مجوزها به‌دست آورند، در نتیجه به داده‌‌های کاربر دسترسی داشته و توانایی انجام انواع مختلفی از فعالیت‌ها را روی دستگاه کاربر دارند. یک مهاجم به‌طور بالقوه این توانایی را دارد از اکسپلویت موجود بهره‌برداری کرده و اقدام به تولید یک گواهی با شماره سریالی که با شماره سریال یک افزونه مطابقت می‌کند به‌پردازد. هکر در ادامه توانایی ساخت یک برنامه امضاء شده با این گواهی را خواهد داشت که به‌طور کامل به تعامل با این افزونه به‌پردازد. اکنون، برنامه توانایی دور زدن مکانیزم احراز هویت افزونه و به‌دست آوردن دسترسی کامل به یک دستگاه را خواهد داشت. تصویر زیر کد مخرب موجود در افزونه TeamViewer را نشان می‌دهد. ( TeamViewer Quick Support یک mRST بوده که بیش از پنج میلیون بار از Google Play دانلود شده است.)

محققان چه چیزی را شناسایی کرده‌اند؟

محققان امنیتی موفق به شناسایی آسیب‌پذیری‌های قدرتمندی شده‌اند که میلیون‌ها دستگاه آندروید را در معرض خطر قرار داده است. این محققان می‌گویند، رخنه‌های شناسایی شده در دستگا‌ه‌های آندرویدی ساخت سازندگانی همچون ال‌جی، سونی و سامسونگ بر مبنای ویژگی پشتیبانی از راه دور بوده که به افزونه‌های جانبی برنامه‌های ثالث اجازه دسترسی به صفحه‌نمایش دستگاه و انجام فعالیت‌هایی را روی دستگاه‌های ساخته شده توسط این شرکت‌ها با استفاده از امضاء دیجیتالی این سازندگان می‌دهد. این بدان معنا است که یک فرد خرابکار توانایی مشاهده کاری که توسط کاربر انجام می‌شود را داشته و می‌تواند کنترل دستگاه یا تبلت کاربر را به‌دست گیرد. محققان اعلام کرده‌اند هیچ راه معقول و منطقی برای لغو این گواهی‌ها در اختیار مصرف‌کنندگان نهایی قرار ندارد. این محققان با شرکت‌های ال‌جی، سامسونگ، HTC و ZTE تماس گرفته و در این‌باره اطلاع‌رسانی کرده است. سازندگان یاد شده به‌روزرسانی‌های لازم را برای پشیگیری از بروز چنین حملاتی ارائه کرده‌اند.  گوگل اعلام کرده‌ است دستگاه‌های نکسوس به هیچ‌یک از این آسیب‌پذیری‌ها آلوده نیستند.

مدیر بخش فناوری و شناسایی تهدیدات موبایل در این‌باره اعلام کرده است: «این آسیب‌پذیری‌ به دلیل وجود یک مشکل امنیتی در معماری آندروید و پیاده‌سازی ناقص ابزارهای پشتیبانی از راه دور از سوی سازندگان بوده است. شرکت‌ها در خصوص پیاده‌سازی این ابزارها آن‌گونه که باید خوب عمل نکرده‌اند.» وی در ادامه افزود: « به دلیل این‌که به‌روزرسانی‌ها معمولا در بازه زمانی طولانی مدت به دست کاربران می‌رسد، در نتیجه پیاده‌سازی حملاتی بر پایه این آسیب‌پذیری‌ها در آینده نزدیک دور از تصور نیست.» سامسونگ در واکنش به آسیب‌پذیری‌های اعلام شده بیانیه زیر را منتشر ساخته است:

«در سامسونگ الکترونیک ما متوجه شده‌ایم، موفقیت ما بستگی به جلب اعتماد کاربران ما که از محصولات و خدمات ما استفاده می‌کنند دارد. ما از مواردی که این محققان به آن‌ها اشاره کرده است، آگاه شدیم و سامسونگ در حال بررسی این موضوع است. سامسونگ از کاربران خود می‌خواهد تا حد امکان برنامه‌هایی که به آن‌ها اطمینان ندارند را اجرا نکنند. »

سخن‌گوی گوگل نیز در همین رابطه اعلام کرد: «ما از محققانی که این موضوع را مورد بررسی قرار داده و ما را آگاه ساخته‌اند تشکر می‌کنیم. مشکلی که آن‌ها به آن اشاره کرده‌اند مربوط به سازندگانی می‌شود که اقدام به سفارشی‌سازی آندروید برای دستگاه‌هایشان کرده‌اند و آن‌‌ها به‌روزرسانی‌های لازم را برای حل و فصل این موضوع ارائه داده‌اند.»

همچون سامسونگ، گوگل نیز کاربران را تشویق کرده است تا فقط برنامه‌های قابل اعتماد را مورد استفاده قرار دهند و تا حد امکان سعی کنند اقدام به نصب برنامه‌ها از منابع معتبری همچون google Play کنند.

باشان همچنین خاطر نشان کرد، برای یک برنامه این امکان وجود دارد تا به سوء استفاده از آسیب‌پذیری موجود در سرویس تأیید هویت گوگل به‌پردازد، به دلیل این‌که یک برنامه می‌تواند به‌طور کامل خود را قانونی نشان داده در حالی‌که افزونه‌های مرتبط با یک برنامه حاوی کدهای مخرب باشند. در هر صورت، تا زمانی‌که گوشی خود را به روزنگه دارید، به ‌احتمال زیاد می‌توانید از برنامه‌‌های سایدلودینگ صرف‌نظر کنید.

ماهنامه شبکه را از کجا تهیه کنیم؟
ماهنامه شبکه را می‌توانید از کتابخانه‌های عمومی سراسر کشور و نیز از دکه‌های روزنامه‌فروشی تهیه نمائید.

ثبت اشتراک نسخه کاغذی ماهنامه شبکه     
ثبت اشتراک نسخه آنلاین

 

کتاب الکترونیک +Network راهنمای شبکه‌ها

  • برای دانلود تنها کتاب کامل ترجمه فارسی +Network  اینجا  کلیک کنید.

کتاب الکترونیک دوره مقدماتی آموزش پایتون

  • اگر قصد یادگیری برنامه‌نویسی را دارید ولی هیچ پیش‌زمینه‌ای ندارید اینجا کلیک کنید.

ایسوس

نظر شما چیست؟