‫ اخبار

برنامه SuperVPN Free VPN Client یک برنامه موفق اندرویدی رایگان است که از 4 سال پیش با 10.000 نصب شروع به فعالیت کرد و هم اکنون بیش از 100 میلیون نصب فعال دارد. گوگل تایید کرده است که این برنامه با بیش از 100 میلیون نصب فعال دارای آسیب‌پذیری است که منجر به شنود همه‌ی ترافیک کاربر می‌شود. در ادامه به بررسی این آسیب‌پذیری که توسط محققان امنیتی در VPNpro کشف شده است، می‌پردازیم.
با تحلیل بیشتر مشخص شد که این برنامه به هاست‌های متعدد متصل می‌شود و در یکی از این هاست‌ها payload مشکوکی با اتصال نا امن HTTP از برنامه به هاست ارسال می‌شود. این payload حاوی داده‌های رمزنگاری شده بود که در پاسخ، payload مشابه‌ی دریافت می‌کرد. این payload حاوی کلیدهای مورد نیاز برای رمزگشایی داده بود که با رمزگشایی آن، اطلاعات حساس سرور شامل گواهینامه‌های سرور و اعتبارنامه‌ها که سرور VPN برای احراز هویت احتیاج داشت بدست آمد. محققان با جایگذاری اطلاعات سرور SuperVpn با سرور آزمون خود، به نتایج زیر دست یافتند: اتصالاتی که از HTTP نا امن و آشکار استفاده می‌کنند ممنوع نیستند: ترافیک HTTP رمزنگاری نمی‌شوند در نتیجه هر فردی با رهگیری ترافیک قادر به شنود ارتباطات کاربر خواهد بود.
Payloadهای ارسالی مبهم سازی (obfuscated) شده‌اند: اطلاعات ارسالی از برنامه (کاربر) و سرور رمزنگاری شده است.
در برنامه کلیدهای رمزنگاری hardcode شده یافت شد: متاسفانه با وجود رمزنگاری payloadهای مذکور، کلیدهای موردنیاز برای رمزگشایی در خود برنامه موجود است.
Payloadها حاوی اعتبارنامه‌های EAP هستند: VPNها از اعتبارنامه‌های EAP برای جلوگیری از اتصالات خارج از برنامه به سرور خود استفاده می‌کنند. اما با ارسال اعتبارنامه‌های EAP در payloadهایی که رمزنگاری نشده‌اند یا رمزنگاری ضعیفی دارند استفاده از اعتبارنامه‌های EAP عملا بی‌فایده خواهد بود.
با استفاده از این آسیب‌پذیری علاوه بر امکان حمله مرد میانی و شنود ترافیک، مهاجم می‌تواند با تغییر جزییات اتصال VPN، کاربر را به جای اتصال به سرور VPN اصلی ‌مجبور به اتصال به سرور مخرب خود کند.
همچنین برنامه Supervpn مطابق شکل شماره 1 پیش‌تر در سال 2016 در مقاله‌ای پروهشی به عنوان برنامه مخرب شناخته شده بود.

در نهایت این برنامه، در هفتم آوریل از پلی استور گوگل حذف شد.

یک بدافزار #‫اندرویدی در فروشگاه Play در حال انتشار است که توسط فعالان تهدید برای غیرفعال‌کردن سرویس Google Play Protect، تولید نظرات جعلی، نصب برنامه‌های مخرب، نمایش تبلیغات و موارد دیگر به‌کار گرفته شده است.
این بدافزار بسیار مبهم که "Trojan-Dropper.AndroidOS.Shopper.a" نام دارد، از یک آیکون سیستم به نام "ConfigAPKs" استفاده می‌کند. این نام مشابه نام یک سرویس قانونی اندروید است که مسئول پیکربندی برنامه‌ها در هنگام شروع به‌کار‌ دستگاه است.
پس از آلوده‌کردن دستگاه اندروید، این بدافزار payload را بارگیری و رمزگشایی می‌کند، سپس مستقیماً به جمع‌آوری اطلاعات دستگاه مانند کشور، نوع شبکه، فروشنده، مدل تلفن هوشمند، آدرس ایمیل، IMEI و IMSI می‌پردازد. این داده‌ها سپس به کارگزارهای اپراتور منتقل می‌شوند که یک سری دستورات را برای اجرا در تلفن هوشمند یا تبلت آلوده ارسال می‌کنند.
همه‌ی این کارها با سوءاستفاده از سرویس دسترسی انجام می‌شود. این سرویس، یک روش شناخته‌شده‌ است که توسط بدافزار اندرویدی برای انجام طیف گسترده‌ای از فعالیت‌های مخرب و بدون نیاز به تعامل کاربر بکار گرفته می‌شود. اگر تروجان، مجوزی برای دسترسی به این سرویس نداشته باشد، برای گرفتن آن‌ از صاحب دستگاه، از فیشینگ استفاده می‌کند.
این بدافزار همچنین سرویس محافظت از تهدید Google Play Protect را غیرفعال می‌کند. با استفاده از این سرویس، بدافزار تقریباً اختیار نامحدودی برای تعامل با رابط سیستم و برنامه‌ها دارد. به‌عنوان مثال‌، می‌تواند داده‌های نمایش داده‌شده روی صفحه را رهگیری کند‌ و دکمه‌های کلیک‌شده و حرکات کاربر را تقلید کند.
Shopper.a می‌تواند بسته به دستوراتی که دریافت می‌کند، یک یا چند کار زیر را انجام دهد:
• لینک‌های دریافت‌شده از سرور راه دور را در یک پنجره‌ی نامرئی باز کند (با این کار بدافزار تأیید می‌کند که کاربر به یک شبکه‌ی تلفن همراه وصل شده است).
• بعد از بازکردن تعداد مشخصی از قفل صفحه، خود را از فهرست برنامه‌ها مخفی کند.
• در دسترس‌بودن مجوز سرویس دسترسی را بررسی کند و در صورت عدم اعطای آن‌، به‌طور دوره‌ای درخواست فیشینگ را برای ارایه به کاربر ارسال کند.
• Google Play Protect را غیرفعال کند.
• در فهرست برنامه‌ها میانبرهایی را برای سایت‌های تبلیغاتی ایجاد کند.
• برنامه‌های تبلیغ‌شده را در Google Play باز کند و برای نصب آن‌ها کلیک کند.
• نظرات جعلی را از طرف کاربر Google Play ارسال کند.
• هنگام باز کردن صفحه، تبلیغات را نشان دهد.
• کاربران را از طریق حساب‌های گوگل یا فیس‌بوک خود در چندین برنامه ثبت کند.
علاوه‌براین، این تروجان با ارسال نظرات بسیار خوش‌بینانه، به افزایش محبوبیت سایر برنامه‌های مخرب در فروشگاه Play کمک می‌کند و برنامه‌های خاصی را نیز از فروشگاه شخص ثالث به نام "Apkpure [.] com" با اجازه‌ی قربانی نصب می‌کند.
به‌گفته‌ی محققان، روسیه با 46/28٪ بیشترین میزان آلودگی به این بدافزار را داراست و پس از آن کشورهای برزیل و هند به ترتیب با 23/23٪ و 70/18٪ در رتبه‌های دوم و سوم قرار دارند.
به کاربران توصیه می‌شود برای محافظت از خود در برابر چنین حملاتی، موارد احتیاطی زیر را رعایت کنند:
• سیستم‌عامل تلفن‌های همراه خود را همواره به‌روز نگه دارند.
• برنامه‌ها را فقط از منابع معتبر بارگیری کنند.
• هنگام نصب برنامه‌ها به نظرات کاربران توجه کنند.
• از یک آنتی‌ویروس مناسب استفاده کرده و آن‌را همواره به‌روز نگه دارند.

تقریباً تمامی شرکت‌های اجرایی و هک تمایل دارند دستگاه‌های #iPhone را هک کنند. اما Google، رقیب ارشد شرکت اپل، از سال گذشته توانسته است با شناسایی و سوءاستفاده از آسیب‌پذیری‌های بحرانی، دستگاه‌های iPhone را هک کند.
این بار تیم هکرهای کلاه سفید Google در Project Zero نقص‌های قابل سوءاستفاده را شناسایی کرده‌اند تا دستگاه‌های iPhone هدف را در معرض خطر قرار دهند.
یکی از این نقص‌ها، نقص بدون کلیک (clickless) است که برای سوءاستفاده از آن نیازی نیست قربانی بر روی لینک مخرب کلیک کند. مهاجمان فقط به Apple ID گوشی‌های iPhone هدف نیاز دارند تا آن‌ها را از راه دور در معرض خطر قرار دهند.
صرفاً چند دقیقه طول می‌کشد تا یک هکر بتواند داده‌ها از جمله گذرواژه‌ها، رایانامه‌ها و پیام‌های متنی را از گوشی به سرقت ببرد وعملگرهایی مانند میکروفون و دوربین گوشی را فعال سازد. تمامی این اقدامات بدون اطلاع و اجازه‌ی کاربر انجام می‌شود. آسیب‌پذیری که به منظور انجام این حمله مورد سوءاستفاده قرار گرفته است با شناسه‌ی CVE-2019-8641 ردیابی می‌شود. این آسیب‌پذیری، یک نقص خرابی حافظه‌ از راه دور ناشی از خواندن خارج از محدوده است که توسط Samual Grob در ماه جولای سال 2019 کشف و در ماه اوت افشا شد.
Apple آسیب‌پذیری CVE-2019-8641 را ابتدا در iOS 12.4 با بهبود اعتبارسنجی ورودی برطرف ساخت و به‌روزرسانی آن را در 26 اوت سال 2019 منتشر ساخت.
اگرچه این نقص در حال حاضر برطرف شده است، در صورتی که کاربر، iOS را در iPad یا iPhone به‌روزرسانی نکرده باشد، دستگاهش همچنان در معرض خطر است. با این وجود، برای رهایی از خطرات این آسیب‌پذیری کاربران نباید Apple ID خود را با دیگران به اشتراک بگذارند و در صورت منقضی‌شدن Apple ID، باید از داده‌ها پشتیبان تهیه کرده، ID جدیدی ساخته و آن را نزد خود نگه دارند.

گوگل اولین بولتین امنیتی #‫اندروید خود در سال ۲۰۲۰ را در روز دوشنبه، ششم ماه ژانویه، منتشر ساخت.
بولتین امنیتی اندروید ماه ژانویه سال 2020 گوگل به دو بخش تقسیم می‌شود. بخش اول شامل وصله برای هفت #‫آسیب‌پذیری موجود در Framework، چارچوب چندرسانه‌ای و سیستم و بخش دوم شامل رفع نقص‌ برای 33 آسیب‌پذیری در Kernel، Qualcomm و اجزای متن‌بسته‌ی Qualcomm است.
شش آسیب‌پذیری از هفت آسیب‌پذیری رفع‌شده در سطح وصله‌ی امنیتی 2020-01-01، دارای درجه حساسیت «بالا» و یک مورد، «بحرانی» رتبه‌بندی شده است. شدیدترین آسیب‌پذیری رفع‌شده در این سطح، یک آسیب‌پذیری امنیتی بحرانی است که به یک مهاجم راه‌دور اجازه می‌دهد بااستفاده از یک فایل ساختگی خاص، کد دلخواه را در متن یک فرایند ممتاز اجرا کند. این آسیب‌‌پذیری که با شناسه‌ی CVE-2020-0002 ردیابی می‌شود، تنها در نسخه‌های 8.0، 8.1 و 9 بحرانی درنظر گرفته شده است و برای نسخه‌ی Android 10، یک نقص با درجه حساسیت «متوسط» درنظر گرفته می‌شود.
از سه نقص برطرف‌‌شده در Framework، دو مورد از آن‌ها آسیب‌پذیری‌های افزایش امتیاز هستند (یک مورد نسخه‌های 8.0، 8.1، 9 و 10 از اندروید و دیگری تنها Android 8.0 را تحت‌تأثیر قرار می‌دهد) و آسیب‌پذیری دیگر، یک نقص انکار سرویس است که نسخه‌های 8.0، 8.1، 9 و 10 از اندروید را تحت‌تأثیر قرار می‌دهد.
هر سه نقص برطرف‌شده در سیستم، آ‌سیب‌پذیری‌های افشای اطلاعات هستند که نسخه‌های 8.0، 8.1، 9 و 10 از اندروید را تحت‌تأثیر قرار می‌دهند.
دومین بخش از به‌روزرسانی امنیتی اندروید ماه ژانویه سال 2020 گوگل که سطح وصله‌ی امنیتی 2020-01-05 نامیده می‌شود، شامل چهار رفع نقص در اجزای Kernel، 11 رفع نقص در اجزای Qualcomm و 18 رفع نقص در اجزای متن‌بسته‌ی Qualcomm است. مهم‌ترین آسیب‌پذیری در میان آسیب‌پذیری‌های رفع‌شده در این سطح وصله‌ی امنیتی، یک نقص بحرانی در درایور Realtek rtlwifi است که می‌تواند منجر به اجرای کد راه‌دور شود.
گوگل همچنین یک بولتین امنیتی جدا منتشر ساخت که در آن آسیب‌پذیری‌های رفع‌شده در دستگاه‌های Pixel را شرح می‌دهد. در مجموع 37 رفع نقص در این بولتین گنجانده شده است که 33 مورد آن‌ها از وصله‌های سطح وصله‌ی امنیتی 2020-01-05 و مابقی نقص‌هایی با درجه حساسیت بحرانی در دوربین هستند.
https://www.securityweek.com/androids-january-2020-update-patches-40-vulnerabilities
https://source.android.com/security/bulletin/2020-01-01

برنامک ارزان بگیر #‫اینستاگرام طبق توضیحات طراح نرم‌افزار برنامه‌ای برای افزایش لایک، فالوئر، بازدید و کامنت در اینستاگرام می‌باشد که کاربر با فالو کردن، لایک کردن، کامنت گذاشتن یا دیدن کلیپ‌های دیگر کاربران سکه بدست می‌آورد و با استفاده از همان سکه‌ها می‌تواند درخواست فالوئر، لایک، کامنت و ... بدهد.
باتوجه به اینکه سرقت اطلاعات حساب‌های اینستاگرام توسط برنامک‌های موبایل با استفاده از عناوینی مثل افزایش فالوئر و لایک روز به روز در حال افزایش است، کارشناسان آزمایشگاه امنیت موبایل مرکز آپا دانشگاه سمنان با رصد فروشگاه‌های برنامک اندرویدی، بدافزار اندرویدی تحت عنوان «ارزان بگیر اینستاگرام» را کشف کردند که اقدام به سرقت نام کاربری و رمز عبور حساب اینستاگرام کاربر می‌کند و در دو فروشگاه مایکت و کافه بازار قرار گرفته است.
در این گزارش به ارزیابی امنیتی این برنامک پرداخته شده که منجر به یافتن فعالیت‌ مخرب ارسال اطلاعات شخصی حساب اینستاگرام کاربر توسط برنامک گردیده است. بدین منظور در بخش 2 به بیان اطلاعات کلی برنامک پرداخته شده، بخش 3 به بررسی جزئیات آسیب‌پذیری‌ها اختصاص یافته است، در بخش ۴ فعالیت‌ مخرب برنامک به تفصیل شرح داده شده است و در نهایت گزارش دقیقی از آسیب‌پذیری‌ها و نقایص امنیتی به همراه راه‌حل آن‌ها در بخش ۵ قابل مشاهده است.

دانلود متن کامل در پیوست

یکی از مسائلی که در دنیای #‫تلفن‌های_هوشمند همواره جای نگرانی بوده، موضوع حریم خصوصی است که در این رابطه، کارشناسان آزمایشگاه امنیت موبایل مرکز ماهر با رصد شبکه‌های اجتماعی یک بدافزار اندرویدی تحت عنوان «اینستا پلاس» را کشف کردند که IPکاربر را برای یک وب‌سرور ارسال می‌کند و موقعیت مکانی او را دریافت می‌کند. در ادامه به توضیح نحوه عملکرد این برنامک می‌پردازیم.

این برنامک در ابتدا دسترسی‌های موقعیت مکانی، تماس تلفنی و خواندن و نوشتن در حافظه گوشی را از کاربر می‌گیرد. اما بدون اطلاع کاربر،IPاو را ارسال می‌کند و در پاسخ موقعیت مکانی کاربر را دریافت می‌کند. لازم به ذکر است این برنامک در مایکت 6 هزار نصب فعال دارد

برای دریافت متن کامل کلیک نمایید

برنامک #‫اینستا لایف طبق توضیحات طراح نرم‌افزار برنامه‌ای برای افزایش لایک، فالوئر، بازدید و کامنت توسط کاربران واقعی و ایرانی در اینستاگرام می‌باشد که دارای امکاناتی نظیر افزایش فالوئر، لایک، کامنت، بازدید، دریافت سکه هدیه روزانه، ذخیره عکس و فیلم و متن و ... می‌باشد.
باتوجه به اینکه سرقت اطلاعات حساب‌های اینستاگرام توسط برنامک‌های موبایل با استفاده از عناوینی مثل افزایش فالوئر و لایک روز به روز در حال افزایش است، کارشناسان آزمایشگاه امنیت موبایل مرکز ماهر با رصد فروشگاه‌های برنامک اندرویدی، بدافزار اندرویدی تحت عنوان «اینستا لایف» را کشف کردند که اقدام به سرقت نام کاربری و رمز عبور حساب اینستاگرام کاربر می‌کند و در فروشگاه مایکت قرار گرفته است.
در این گزارش به ارزیابی امنیتی این برنامک پرداخته شده که منجر به یافتن فعالیت‌ مخرب ارسال اطلاعات شخصی حساب اینستاگرام کاربر توسط برنامک گردیده است. بدین منظور در بخش 2 به بیان اطلاعات کلی برنامک پرداخته شده، بخش 3 به بررسی جزئیات آسیب‌پذیری‌ها اختصاص یافته است، در بخش ۴ فعالیت‌ مخرب برنامک به تفصیل شرح داده شده است و در نهایت گزارش دقیقی از آسیب‌پذیری‌ها و نقایص امنیتی به همراه راه‌حل آن‌ها در بخش ۵ قابل مشاهده است.

دانلود پیوست

مطابق گزارش مرکز مدیریت و پاسخگویی به رخدادهای امنیتی فاوا همراه اول و بررسی های بعمل آمده توسط مرکز ماهر بدافزار اندرویدی Calendarکه با عنوان یک تقویم ایرانی در شبکههای اجتماعی تبلیغ میشود، بعد از نصب با نام «تقویم ثمین» در فهرست برنامه های نصب شده در تلفن همراه قرار میگیرد. این بدافزار هنگام نصب، هیچ مجوزی را از کاربر درخواست نمیکند اما پس از اجرا، درخواست مجوز دسترسی به تصاویر، رسانه و فایلهای روی دستگاه را دارد.

دانلود گزراش