vahid5835
29th October 2014, 11:43 AM
آیا برنامههای موبایل شما امن هستند؟
یک مطالعه امنیتی جدید نشان میدهد که اینستاگرام، OkCupid و بسیاری برنامههای دیگر اندروید، در آزمایشهای ساده و اولیه شامل اقدامات امنیتی برای محافظتِ اطلاعات کاربران موفق نمیشوند و از نظر حریم خصوصی در معرض خطر هستند.
به نقل ازبرترین ها؛ یک مطالعه امنیتی جدید نشان میدهد که اینستاگرام، OkCupid و بسیاری برنامههای دیگر اندروید، در آزمایشهای ساده و اولیه شامل اقدامات امنیتی برای محافظتِ اطلاعات کاربران موفق نمیشوند و از نظر حریم خصوصی در معرض خطر هستند. گروه امنیتی UNHcFREG که این مطالعه اخیر را انجام داده است، در ابتدای سال، آسیبپذیریهای مختلفی را روی دو برنامه معروف واتساپ و وایبر شناسایی کرد و گزارش داد.
http://cdn.bartarinha.ir/files/fa/news/1393/8/4/382457_847.jpg
این گروه اکنون، تحقیقات خود را روی طیف گستردهتری از اپها صورت داده و به تجزیه و تحلیل رفتار و سازوکارهای امنیتی آنها پرداخته است. در این آزمایشها سعی شده نقاط ضعف امنیتی که اطلاعات کاربران را در معرض خطر قرار میدهند، یافته و تخمین زده شود. گروه امنیتی UNHcFREG گزارشی از یافتههای خود را به صورت فیلم روی شبکههای اجتماعی پخش کرد که با سرعت زیادی منتشر شد و بیش از یک میلیون کاربر از آن بازدید کردند. این گروه میگوید چیزی که ما واقعاً یافتیم این است که توسعهدهندگان برنامههای سیستمعامل اندروید بسیار بههم ریخته هستند. ابزارهای تجزیه و تحلیل ترافیکی، مانند Wireshark و NetworkMiner، به خوبی نشان میدهند که اطلاعات کاربران روی سرورها چگونه رد و بدل میشوند و از کجا به کجا انتقال مییابند و ذخیره میشوند. این ابزارها نشان میدهند هنوز اپهای معروفی مانند فیسبوک، اینستاگرام، مسیجمی، تانگو، هیواید، تکستپلاس، OkCupid و OoVoo از سیستمهای احرازهویت عکس استفاده نمیکنند و دسترسی به تصاویر و انتقال آنها برای دیگران بدون هیچگونه تدابیر امنیتی انجام میشود. تصاویری که از طریق پروتکل HTTP منتقل میشوند؛ هیچگونه سازوکاری برای احرازهویت ندارند.
در نتیجه کافی است این پروتکل شنود شود تا هر درخواست و ارسال اطلاعاتی روی آنها جمعآوری شود و از آنجا که رمزنگاری نشده است یا به احرازهویت نیاز ندارد، به راحتی دسترسپذیر است. استانداردهای امنیتی میگویند به محض دسترسی نامعتبر به یک عکس، باید از روی سرور پاک شود یا اینکه از صاحب اصلی عکس درخواست احرازهویت صورت گیرد. نرمافزارهای پیامرسانی نیز اقدام به رمزنگاری اطلاعات خود نمیکنند و اگر کسی گوشی موبایل فرد دیگری را به دست آورد، به سادگی میتواند همه پیامها را بخواند. بدتر از همه اینکه بسیاری از برنامههای کاربردی روی اندروید از پروتکل SSL/TLS که اکنون برای تمامی مرورگرهای دسکتاپ است، استفاده نمیکنند. در نتیجه، یک پیشفرض گواهینامههای دیجیتال صادرشده برای سایتها روی گوشیهای موبایل یا تبلتها کاربردی ندارند.
اگر کاربر در یک مکان عمومی به سایت بانک متصل شود، هکرها میتوانند شبکه وایفای را شنود کرده و به اطلاعات حساس و حیاتی او دست یابند و در آینده حساب کاربریاش را هک کنند. مؤسسه UNHcFREG میگوید که با بسیاری از توسعهدهندگان این اپها تماس گرفته و نتایج این مطالعه جدید را برایشان ارسال کردهاند، اما بسیاری از آنها فرصت پاسخگویی ندارند یا از ایمیلهای پشتیبانی آنها جوابی دریافت نمیکنند.
کد خبر: 23397 گروه خبری: اخبار امنیت و ویروس منبع خبر: bartarinha.ir
یک مطالعه امنیتی جدید نشان میدهد که اینستاگرام، OkCupid و بسیاری برنامههای دیگر اندروید، در آزمایشهای ساده و اولیه شامل اقدامات امنیتی برای محافظتِ اطلاعات کاربران موفق نمیشوند و از نظر حریم خصوصی در معرض خطر هستند.
به نقل ازبرترین ها؛ یک مطالعه امنیتی جدید نشان میدهد که اینستاگرام، OkCupid و بسیاری برنامههای دیگر اندروید، در آزمایشهای ساده و اولیه شامل اقدامات امنیتی برای محافظتِ اطلاعات کاربران موفق نمیشوند و از نظر حریم خصوصی در معرض خطر هستند. گروه امنیتی UNHcFREG که این مطالعه اخیر را انجام داده است، در ابتدای سال، آسیبپذیریهای مختلفی را روی دو برنامه معروف واتساپ و وایبر شناسایی کرد و گزارش داد.
http://cdn.bartarinha.ir/files/fa/news/1393/8/4/382457_847.jpg
این گروه اکنون، تحقیقات خود را روی طیف گستردهتری از اپها صورت داده و به تجزیه و تحلیل رفتار و سازوکارهای امنیتی آنها پرداخته است. در این آزمایشها سعی شده نقاط ضعف امنیتی که اطلاعات کاربران را در معرض خطر قرار میدهند، یافته و تخمین زده شود. گروه امنیتی UNHcFREG گزارشی از یافتههای خود را به صورت فیلم روی شبکههای اجتماعی پخش کرد که با سرعت زیادی منتشر شد و بیش از یک میلیون کاربر از آن بازدید کردند. این گروه میگوید چیزی که ما واقعاً یافتیم این است که توسعهدهندگان برنامههای سیستمعامل اندروید بسیار بههم ریخته هستند. ابزارهای تجزیه و تحلیل ترافیکی، مانند Wireshark و NetworkMiner، به خوبی نشان میدهند که اطلاعات کاربران روی سرورها چگونه رد و بدل میشوند و از کجا به کجا انتقال مییابند و ذخیره میشوند. این ابزارها نشان میدهند هنوز اپهای معروفی مانند فیسبوک، اینستاگرام، مسیجمی، تانگو، هیواید، تکستپلاس، OkCupid و OoVoo از سیستمهای احرازهویت عکس استفاده نمیکنند و دسترسی به تصاویر و انتقال آنها برای دیگران بدون هیچگونه تدابیر امنیتی انجام میشود. تصاویری که از طریق پروتکل HTTP منتقل میشوند؛ هیچگونه سازوکاری برای احرازهویت ندارند.
در نتیجه کافی است این پروتکل شنود شود تا هر درخواست و ارسال اطلاعاتی روی آنها جمعآوری شود و از آنجا که رمزنگاری نشده است یا به احرازهویت نیاز ندارد، به راحتی دسترسپذیر است. استانداردهای امنیتی میگویند به محض دسترسی نامعتبر به یک عکس، باید از روی سرور پاک شود یا اینکه از صاحب اصلی عکس درخواست احرازهویت صورت گیرد. نرمافزارهای پیامرسانی نیز اقدام به رمزنگاری اطلاعات خود نمیکنند و اگر کسی گوشی موبایل فرد دیگری را به دست آورد، به سادگی میتواند همه پیامها را بخواند. بدتر از همه اینکه بسیاری از برنامههای کاربردی روی اندروید از پروتکل SSL/TLS که اکنون برای تمامی مرورگرهای دسکتاپ است، استفاده نمیکنند. در نتیجه، یک پیشفرض گواهینامههای دیجیتال صادرشده برای سایتها روی گوشیهای موبایل یا تبلتها کاربردی ندارند.
اگر کاربر در یک مکان عمومی به سایت بانک متصل شود، هکرها میتوانند شبکه وایفای را شنود کرده و به اطلاعات حساس و حیاتی او دست یابند و در آینده حساب کاربریاش را هک کنند. مؤسسه UNHcFREG میگوید که با بسیاری از توسعهدهندگان این اپها تماس گرفته و نتایج این مطالعه جدید را برایشان ارسال کردهاند، اما بسیاری از آنها فرصت پاسخگویی ندارند یا از ایمیلهای پشتیبانی آنها جوابی دریافت نمیکنند.
کد خبر: 23397 گروه خبری: اخبار امنیت و ویروس منبع خبر: bartarinha.ir