آندروئيد و چالشهای امنيتی آن
نوپاتر بودن سيستمعامل موبايل آندروئيد در مقايسه با بسياری از سيستمعاملهای رايج کنونی از يک سو و گسترش آن در ميان کاربران از سوی ديگر باعث شده تا طی چند ماه اخير چند گزارش امنيتی درباره ضعفهای آن در رسانهها منتشر شود. تعدد اين ضعفها برای سيستمعاملی که به تازگی قدم به دنيای فناوری گذاشته و البته با استقبال زيادی مواجه شده، چندان عجيب نيست و چنانچه گوگل نسبت به برطرفكردن ايرادهای گزارش شده به موقع اقدام کند، روند رو به رشد آن ادامه خواهد يافت. يکی از تازهترين گزارشها درباره وضعيت امنيتی آندروئيد چندی پيش منتشر و در آن اعلام شد که دادههای خصوصی کاربرانی که با گوشیها يا دستگاههای مجهز به آندروئيد 2,3,3 يا نسخههای پيش از آن به شبکههای وایفای ناامن متصل میشوند، در معرض افشا شدن قرار دارد. طبق اين گزارش، بررسیهای پژوهشگران دانشگاه Ulm آلمان نشان میدهد، بيش از 99 درصد اسمارتفونهای آندروئيدی بهسادگی در معرض تهديد هکرهای موبايل قرار دارند. از اينرو، مهاجمان میتوانند با استفاده از دادههای فاش شده، خود را به جای صاحب واقعی آن دادهها جا بزنند و به حسابهای آنلاين کاربران در گوگل و شبکههای اجتماعی دسترسی پيدا کنند.
اين گزارش میافزايد، باستين کونينگز، جنز نيکلز و فلوريان شاوب، پژوهشگران دانشگاه Ulm علت اين ضعف آندروئيد را پيادهسازی نادرست پروتکل ClientLogin عنوان کردهاند که از آن در آندروئيد 3/3/2و نسخههای قبلی استفاده شدهاست. زمانی که کاربر اطلاعات خود را برای ورود به يک سايت وارد میکند، پروتکل ClientLogin يک توکن احراز هويت (authToken) دريافت میکند که به صورت يک فايل به طو ركامل متنی ارسال میشود. با توجه به اينکه اعتبار توکن احراز هويت چهارده روز است و در اين بازه زمانی میتواند بارها مورد استفاده قرار بگيرد، هکرها میتوانند به اطلاعات ذخيرهشده در فايل مذکور دسترسی پيدا کنند.
اين پژوهشگران در وبلاگ خود نوشتهاند: «ما میخواستيم بدانيم که آيا میتوان در برابر سرويسهای گوگل واقعاً يک حمله جعل شخصيت ترتيب داد يا خير و به اين منظور تحليلهای خود را آغاز کرديم.» پاسخ کوتاه بود: «بله، اين کار ممکن است و انجام آن بسيار آسان است.» همچنين، چنين حملهای به سرويس تقويم گوگل (Google Calendar) و تماسها (Contacts) محدود نيست، بلکه به لحاظ نظری همه سرويسهای گوگل که از پروتکل احراز هويت ClientLogin برای دسترسی به دادههای API آن استفاده میکنند، در معرض چنين حملهای قرار دارند.
اين پژوهشگران مینويسند: «يک مهاجم برای گردآوری اين توکنها در مقياسی بزرگ، میتواند با استفاده از يک SSID مشترک از يک شبکه بیسيم که رمزنگاری نشده (تیموبايل، attsifi، starbucks) يک نقطه دسترسی وایفای ايجاد کند. منظور از SSID (سرنام Service Set Identifier) نامی است که يک شبکه محلی بيسيم 802.11 را مشخص میکند. تلفنهای آندروئيدی با تنظيمهای پيشفرض به طور خودکار به يک شبکه از پيش شناختهشده متصل میشوند و بسياری از برنامهها فوراً درصدد همگامسازی خود با آن برمیآيند. طی حمله در حاليکه اين فرآيند همگامسازی از کار میافتد (مگر اينکه مهاجم اين درخواستها را ارسال کند)، مهاجم توکنهای احراز هويت چنين سرويسی را که درصدد همگامشدن بود، ضبط میکند. اين پژوهشگران برای برطرف كردن اين مشکل به توسعهدهندگان و کاربران گوگل و آندروئيد چند راهکار پيشنهاد دادهاند. توسعهدهندگانی که برنامههايشان از ClientLogin بهره میبرد بايد به سرعت به https سوئيچ کنند. شرکت گوگل نيز بايد چرخه فعاليت هر توکن احراز هويت را محدود کند و تنها زمانی اجازه اتصال خودکار بدهد که شبکه مورد استفاده امن باشد. کاربران آندروئيد بايد سيستمعامل دستگاههای خود را هر چه زودتر به نسخه 2,3,4 ارتقا دهند و همچنين قابليت همگامسازی خودکار در حين اتصال از طريق وایفای را خاموش کنند يا تمام اتصالها را به شبکههای وایفای نا امن غيرممکن کنند. به طور معمول، محصولات جديد به مرور سهم خود را در بازار افزايش میدهند و همين موضوع باعث میشود تا شرکتهای عرضهکننده با چالش کمتری نسبت به شناسایی ضعفها و برطرف کردن آنها اقدام کنند. اما استقبال گسترده از آندروئيد که شايد بخش زيادی از آن مرهون نام گوگل در کنار اين سيستمعامل است، باعث شد تا شناسایی ضعفهای امنيتی در آن حساسيتهای بيشتری داشته باشد.
منبع:ماهنامه شبکه
ارسال توسط کاربر محترم سایت : hasantaleb
اين گزارش میافزايد، باستين کونينگز، جنز نيکلز و فلوريان شاوب، پژوهشگران دانشگاه Ulm علت اين ضعف آندروئيد را پيادهسازی نادرست پروتکل ClientLogin عنوان کردهاند که از آن در آندروئيد 3/3/2و نسخههای قبلی استفاده شدهاست. زمانی که کاربر اطلاعات خود را برای ورود به يک سايت وارد میکند، پروتکل ClientLogin يک توکن احراز هويت (authToken) دريافت میکند که به صورت يک فايل به طو ركامل متنی ارسال میشود. با توجه به اينکه اعتبار توکن احراز هويت چهارده روز است و در اين بازه زمانی میتواند بارها مورد استفاده قرار بگيرد، هکرها میتوانند به اطلاعات ذخيرهشده در فايل مذکور دسترسی پيدا کنند.
اين پژوهشگران در وبلاگ خود نوشتهاند: «ما میخواستيم بدانيم که آيا میتوان در برابر سرويسهای گوگل واقعاً يک حمله جعل شخصيت ترتيب داد يا خير و به اين منظور تحليلهای خود را آغاز کرديم.» پاسخ کوتاه بود: «بله، اين کار ممکن است و انجام آن بسيار آسان است.» همچنين، چنين حملهای به سرويس تقويم گوگل (Google Calendar) و تماسها (Contacts) محدود نيست، بلکه به لحاظ نظری همه سرويسهای گوگل که از پروتکل احراز هويت ClientLogin برای دسترسی به دادههای API آن استفاده میکنند، در معرض چنين حملهای قرار دارند.
اين پژوهشگران مینويسند: «يک مهاجم برای گردآوری اين توکنها در مقياسی بزرگ، میتواند با استفاده از يک SSID مشترک از يک شبکه بیسيم که رمزنگاری نشده (تیموبايل، attsifi، starbucks) يک نقطه دسترسی وایفای ايجاد کند. منظور از SSID (سرنام Service Set Identifier) نامی است که يک شبکه محلی بيسيم 802.11 را مشخص میکند. تلفنهای آندروئيدی با تنظيمهای پيشفرض به طور خودکار به يک شبکه از پيش شناختهشده متصل میشوند و بسياری از برنامهها فوراً درصدد همگامسازی خود با آن برمیآيند. طی حمله در حاليکه اين فرآيند همگامسازی از کار میافتد (مگر اينکه مهاجم اين درخواستها را ارسال کند)، مهاجم توکنهای احراز هويت چنين سرويسی را که درصدد همگامشدن بود، ضبط میکند. اين پژوهشگران برای برطرف كردن اين مشکل به توسعهدهندگان و کاربران گوگل و آندروئيد چند راهکار پيشنهاد دادهاند. توسعهدهندگانی که برنامههايشان از ClientLogin بهره میبرد بايد به سرعت به https سوئيچ کنند. شرکت گوگل نيز بايد چرخه فعاليت هر توکن احراز هويت را محدود کند و تنها زمانی اجازه اتصال خودکار بدهد که شبکه مورد استفاده امن باشد. کاربران آندروئيد بايد سيستمعامل دستگاههای خود را هر چه زودتر به نسخه 2,3,4 ارتقا دهند و همچنين قابليت همگامسازی خودکار در حين اتصال از طريق وایفای را خاموش کنند يا تمام اتصالها را به شبکههای وایفای نا امن غيرممکن کنند. به طور معمول، محصولات جديد به مرور سهم خود را در بازار افزايش میدهند و همين موضوع باعث میشود تا شرکتهای عرضهکننده با چالش کمتری نسبت به شناسایی ضعفها و برطرف کردن آنها اقدام کنند. اما استقبال گسترده از آندروئيد که شايد بخش زيادی از آن مرهون نام گوگل در کنار اين سيستمعامل است، باعث شد تا شناسایی ضعفهای امنيتی در آن حساسيتهای بيشتری داشته باشد.
منبع:ماهنامه شبکه
ارسال توسط کاربر محترم سایت : hasantaleb
/ج
