برنامه SuperVPN Free VPN Client یک برنامه موفق اندرویدی رایگان است که از 4 سال پیش با 10.000 نصب شروع به فعالیت کرد و هم اکنون بیش از 100 میلیون نصب فعال دارد. گوگل تایید کرده است که این برنامه با بیش از 100 میلیون نصب فعال دارای آسیبپذیری است که منجر به شنود همهی ترافیک کاربر میشود. در ادامه به بررسی این آسیبپذیری که توسط محققان امنیتی در VPNpro کشف شده است، میپردازیم.
با تحلیل بیشتر مشخص شد که این برنامه به هاستهای متعدد متصل میشود و در یکی از این هاستها payload مشکوکی با اتصال نا امن HTTP از برنامه به هاست ارسال میشود. این payload حاوی دادههای رمزنگاری شده بود که در پاسخ، payload مشابهی دریافت میکرد. این payload حاوی کلیدهای مورد نیاز برای رمزگشایی داده بود که با رمزگشایی آن، اطلاعات حساس سرور شامل گواهینامههای سرور و اعتبارنامهها که سرور VPN برای احراز هویت احتیاج داشت بدست آمد. محققان با جایگذاری اطلاعات سرور SuperVpn با سرور آزمون خود، به نتایج زیر دست یافتند: اتصالاتی که از HTTP نا امن و آشکار استفاده میکنند ممنوع نیستند: ترافیک HTTP رمزنگاری نمیشوند در نتیجه هر فردی با رهگیری ترافیک قادر به شنود ارتباطات کاربر خواهد بود.
Payloadهای ارسالی مبهم سازی (obfuscated) شدهاند: اطلاعات ارسالی از برنامه (کاربر) و سرور رمزنگاری شده است.
در برنامه کلیدهای رمزنگاری hardcode شده یافت شد: متاسفانه با وجود رمزنگاری payloadهای مذکور، کلیدهای موردنیاز برای رمزگشایی در خود برنامه موجود است.
Payloadها حاوی اعتبارنامههای EAP هستند: VPNها از اعتبارنامههای EAP برای جلوگیری از اتصالات خارج از برنامه به سرور خود استفاده میکنند. اما با ارسال اعتبارنامههای EAP در payloadهایی که رمزنگاری نشدهاند یا رمزنگاری ضعیفی دارند استفاده از اعتبارنامههای EAP عملا بیفایده خواهد بود.
با استفاده از این آسیبپذیری علاوه بر امکان حمله مرد میانی و شنود ترافیک، مهاجم میتواند با تغییر جزییات اتصال VPN، کاربر را به جای اتصال به سرور VPN اصلی مجبور به اتصال به سرور مخرب خود کند.
همچنین برنامه Supervpn مطابق شکل شماره 1 پیشتر در سال 2016 در مقالهای پروهشی به عنوان برنامه مخرب شناخته شده بود.
در نهایت این برنامه، در هفتم آوریل از پلی استور گوگل حذف شد.
یک بدافزار #اندرویدی در فروشگاه Play در حال انتشار است که توسط فعالان تهدید برای غیرفعالکردن سرویس Google Play Protect، تولید نظرات جعلی، نصب برنامههای مخرب، نمایش تبلیغات و موارد دیگر بهکار گرفته شده است.
این بدافزار بسیار مبهم که "Trojan-Dropper.AndroidOS.Shopper.a" نام دارد، از یک آیکون سیستم به نام "ConfigAPKs" استفاده میکند. این نام مشابه نام یک سرویس قانونی اندروید است که مسئول پیکربندی برنامهها در هنگام شروع بهکار دستگاه است.
پس از آلودهکردن دستگاه اندروید، این بدافزار payload را بارگیری و رمزگشایی میکند، سپس مستقیماً به جمعآوری اطلاعات دستگاه مانند کشور، نوع شبکه، فروشنده، مدل تلفن هوشمند، آدرس ایمیل، IMEI و IMSI میپردازد. این دادهها سپس به کارگزارهای اپراتور منتقل میشوند که یک سری دستورات را برای اجرا در تلفن هوشمند یا تبلت آلوده ارسال میکنند.
همهی این کارها با سوءاستفاده از سرویس دسترسی انجام میشود. این سرویس، یک روش شناختهشده است که توسط بدافزار اندرویدی برای انجام طیف گستردهای از فعالیتهای مخرب و بدون نیاز به تعامل کاربر بکار گرفته میشود. اگر تروجان، مجوزی برای دسترسی به این سرویس نداشته باشد، برای گرفتن آن از صاحب دستگاه، از فیشینگ استفاده میکند.
این بدافزار همچنین سرویس محافظت از تهدید Google Play Protect را غیرفعال میکند. با استفاده از این سرویس، بدافزار تقریباً اختیار نامحدودی برای تعامل با رابط سیستم و برنامهها دارد. بهعنوان مثال، میتواند دادههای نمایش دادهشده روی صفحه را رهگیری کند و دکمههای کلیکشده و حرکات کاربر را تقلید کند.
Shopper.a میتواند بسته به دستوراتی که دریافت میکند، یک یا چند کار زیر را انجام دهد:
• لینکهای دریافتشده از سرور راه دور را در یک پنجرهی نامرئی باز کند (با این کار بدافزار تأیید میکند که کاربر به یک شبکهی تلفن همراه وصل شده است).
• بعد از بازکردن تعداد مشخصی از قفل صفحه، خود را از فهرست برنامهها مخفی کند.
• در دسترسبودن مجوز سرویس دسترسی را بررسی کند و در صورت عدم اعطای آن، بهطور دورهای درخواست فیشینگ را برای ارایه به کاربر ارسال کند.
• Google Play Protect را غیرفعال کند.
• در فهرست برنامهها میانبرهایی را برای سایتهای تبلیغاتی ایجاد کند.
• برنامههای تبلیغشده را در Google Play باز کند و برای نصب آنها کلیک کند.
• نظرات جعلی را از طرف کاربر Google Play ارسال کند.
• هنگام باز کردن صفحه، تبلیغات را نشان دهد.
• کاربران را از طریق حسابهای گوگل یا فیسبوک خود در چندین برنامه ثبت کند.
علاوهبراین، این تروجان با ارسال نظرات بسیار خوشبینانه، به افزایش محبوبیت سایر برنامههای مخرب در فروشگاه Play کمک میکند و برنامههای خاصی را نیز از فروشگاه شخص ثالث به نام "Apkpure [.] com" با اجازهی قربانی نصب میکند.
بهگفتهی محققان، روسیه با 46/28٪ بیشترین میزان آلودگی به این بدافزار را داراست و پس از آن کشورهای برزیل و هند به ترتیب با 23/23٪ و 70/18٪ در رتبههای دوم و سوم قرار دارند.
به کاربران توصیه میشود برای محافظت از خود در برابر چنین حملاتی، موارد احتیاطی زیر را رعایت کنند:
• سیستمعامل تلفنهای همراه خود را همواره بهروز نگه دارند.
• برنامهها را فقط از منابع معتبر بارگیری کنند.
• هنگام نصب برنامهها به نظرات کاربران توجه کنند.
• از یک آنتیویروس مناسب استفاده کرده و آنرا همواره بهروز نگه دارند.
تقریباً تمامی شرکتهای اجرایی و هک تمایل دارند دستگاههای #iPhone را هک کنند. اما Google، رقیب ارشد شرکت اپل، از سال گذشته توانسته است با شناسایی و سوءاستفاده از آسیبپذیریهای بحرانی، دستگاههای iPhone را هک کند.
این بار تیم هکرهای کلاه سفید Google در Project Zero نقصهای قابل سوءاستفاده را شناسایی کردهاند تا دستگاههای iPhone هدف را در معرض خطر قرار دهند.
یکی از این نقصها، نقص بدون کلیک (clickless) است که برای سوءاستفاده از آن نیازی نیست قربانی بر روی لینک مخرب کلیک کند. مهاجمان فقط به Apple ID گوشیهای iPhone هدف نیاز دارند تا آنها را از راه دور در معرض خطر قرار دهند.
صرفاً چند دقیقه طول میکشد تا یک هکر بتواند دادهها از جمله گذرواژهها، رایانامهها و پیامهای متنی را از گوشی به سرقت ببرد وعملگرهایی مانند میکروفون و دوربین گوشی را فعال سازد. تمامی این اقدامات بدون اطلاع و اجازهی کاربر انجام میشود. آسیبپذیری که به منظور انجام این حمله مورد سوءاستفاده قرار گرفته است با شناسهی CVE-2019-8641 ردیابی میشود. این آسیبپذیری، یک نقص خرابی حافظه از راه دور ناشی از خواندن خارج از محدوده است که توسط Samual Grob در ماه جولای سال 2019 کشف و در ماه اوت افشا شد.
Apple آسیبپذیری CVE-2019-8641 را ابتدا در iOS 12.4 با بهبود اعتبارسنجی ورودی برطرف ساخت و بهروزرسانی آن را در 26 اوت سال 2019 منتشر ساخت.
اگرچه این نقص در حال حاضر برطرف شده است، در صورتی که کاربر، iOS را در iPad یا iPhone بهروزرسانی نکرده باشد، دستگاهش همچنان در معرض خطر است. با این وجود، برای رهایی از خطرات این آسیبپذیری کاربران نباید Apple ID خود را با دیگران به اشتراک بگذارند و در صورت منقضیشدن Apple ID، باید از دادهها پشتیبان تهیه کرده، ID جدیدی ساخته و آن را نزد خود نگه دارند.
گوگل اولین بولتین امنیتی #اندروید خود در سال ۲۰۲۰ را در روز دوشنبه، ششم ماه ژانویه، منتشر ساخت.
بولتین امنیتی اندروید ماه ژانویه سال 2020 گوگل به دو بخش تقسیم میشود. بخش اول شامل وصله برای هفت #آسیبپذیری موجود در Framework، چارچوب چندرسانهای و سیستم و بخش دوم شامل رفع نقص برای 33 آسیبپذیری در Kernel، Qualcomm و اجزای متنبستهی Qualcomm است.
شش آسیبپذیری از هفت آسیبپذیری رفعشده در سطح وصلهی امنیتی 2020-01-01، دارای درجه حساسیت «بالا» و یک مورد، «بحرانی» رتبهبندی شده است. شدیدترین آسیبپذیری رفعشده در این سطح، یک آسیبپذیری امنیتی بحرانی است که به یک مهاجم راهدور اجازه میدهد بااستفاده از یک فایل ساختگی خاص، کد دلخواه را در متن یک فرایند ممتاز اجرا کند. این آسیبپذیری که با شناسهی CVE-2020-0002 ردیابی میشود، تنها در نسخههای 8.0، 8.1 و 9 بحرانی درنظر گرفته شده است و برای نسخهی Android 10، یک نقص با درجه حساسیت «متوسط» درنظر گرفته میشود.
از سه نقص برطرفشده در Framework، دو مورد از آنها آسیبپذیریهای افزایش امتیاز هستند (یک مورد نسخههای 8.0، 8.1، 9 و 10 از اندروید و دیگری تنها Android 8.0 را تحتتأثیر قرار میدهد) و آسیبپذیری دیگر، یک نقص انکار سرویس است که نسخههای 8.0، 8.1، 9 و 10 از اندروید را تحتتأثیر قرار میدهد.
هر سه نقص برطرفشده در سیستم، آسیبپذیریهای افشای اطلاعات هستند که نسخههای 8.0، 8.1، 9 و 10 از اندروید را تحتتأثیر قرار میدهند.
دومین بخش از بهروزرسانی امنیتی اندروید ماه ژانویه سال 2020 گوگل که سطح وصلهی امنیتی 2020-01-05 نامیده میشود، شامل چهار رفع نقص در اجزای Kernel، 11 رفع نقص در اجزای Qualcomm و 18 رفع نقص در اجزای متنبستهی Qualcomm است. مهمترین آسیبپذیری در میان آسیبپذیریهای رفعشده در این سطح وصلهی امنیتی، یک نقص بحرانی در درایور Realtek rtlwifi است که میتواند منجر به اجرای کد راهدور شود.
گوگل همچنین یک بولتین امنیتی جدا منتشر ساخت که در آن آسیبپذیریهای رفعشده در دستگاههای Pixel را شرح میدهد. در مجموع 37 رفع نقص در این بولتین گنجانده شده است که 33 مورد آنها از وصلههای سطح وصلهی امنیتی 2020-01-05 و مابقی نقصهایی با درجه حساسیت بحرانی در دوربین هستند.
https://www.securityweek.com/androids-january-2020-update-patches-40-vulnerabilities
https://source.android.com/security/bulletin/2020-01-01
برنامک ارزان بگیر #اینستاگرام طبق توضیحات طراح نرمافزار برنامهای برای افزایش لایک، فالوئر، بازدید و کامنت در اینستاگرام میباشد که کاربر با فالو کردن، لایک کردن، کامنت گذاشتن یا دیدن کلیپهای دیگر کاربران سکه بدست میآورد و با استفاده از همان سکهها میتواند درخواست فالوئر، لایک، کامنت و ... بدهد.
باتوجه به اینکه سرقت اطلاعات حسابهای اینستاگرام توسط برنامکهای موبایل با استفاده از عناوینی مثل افزایش فالوئر و لایک روز به روز در حال افزایش است، کارشناسان آزمایشگاه امنیت موبایل مرکز آپا دانشگاه سمنان با رصد فروشگاههای برنامک اندرویدی، بدافزار اندرویدی تحت عنوان «ارزان بگیر اینستاگرام» را کشف کردند که اقدام به سرقت نام کاربری و رمز عبور حساب اینستاگرام کاربر میکند و در دو فروشگاه مایکت و کافه بازار قرار گرفته است.
در این گزارش به ارزیابی امنیتی این برنامک پرداخته شده که منجر به یافتن فعالیت مخرب ارسال اطلاعات شخصی حساب اینستاگرام کاربر توسط برنامک گردیده است. بدین منظور در بخش 2 به بیان اطلاعات کلی برنامک پرداخته شده، بخش 3 به بررسی جزئیات آسیبپذیریها اختصاص یافته است، در بخش ۴ فعالیت مخرب برنامک به تفصیل شرح داده شده است و در نهایت گزارش دقیقی از آسیبپذیریها و نقایص امنیتی به همراه راهحل آنها در بخش ۵ قابل مشاهده است.
دانلود متن کامل در پیوست
یکی از مسائلی که در دنیای #تلفنهای_هوشمند همواره جای نگرانی بوده، موضوع حریم خصوصی است که در این رابطه، کارشناسان آزمایشگاه امنیت موبایل مرکز ماهر با رصد شبکههای اجتماعی یک بدافزار اندرویدی تحت عنوان «اینستا پلاس» را کشف کردند که IPکاربر را برای یک وبسرور ارسال میکند و موقعیت مکانی او را دریافت میکند. در ادامه به توضیح نحوه عملکرد این برنامک میپردازیم.
این برنامک در ابتدا دسترسیهای موقعیت مکانی، تماس تلفنی و خواندن و نوشتن در حافظه گوشی را از کاربر میگیرد. اما بدون اطلاع کاربر،IPاو را ارسال میکند و در پاسخ موقعیت مکانی کاربر را دریافت میکند. لازم به ذکر است این برنامک در مایکت 6 هزار نصب فعال دارد
برای دریافت متن کامل کلیک نمایید
برنامک #اینستا لایف طبق توضیحات طراح نرمافزار برنامهای برای افزایش لایک، فالوئر، بازدید و کامنت توسط کاربران واقعی و ایرانی در اینستاگرام میباشد که دارای امکاناتی نظیر افزایش فالوئر، لایک، کامنت، بازدید، دریافت سکه هدیه روزانه، ذخیره عکس و فیلم و متن و ... میباشد.
باتوجه به اینکه سرقت اطلاعات حسابهای اینستاگرام توسط برنامکهای موبایل با استفاده از عناوینی مثل افزایش فالوئر و لایک روز به روز در حال افزایش است، کارشناسان آزمایشگاه امنیت موبایل مرکز ماهر با رصد فروشگاههای برنامک اندرویدی، بدافزار اندرویدی تحت عنوان «اینستا لایف» را کشف کردند که اقدام به سرقت نام کاربری و رمز عبور حساب اینستاگرام کاربر میکند و در فروشگاه مایکت قرار گرفته است.
در این گزارش به ارزیابی امنیتی این برنامک پرداخته شده که منجر به یافتن فعالیت مخرب ارسال اطلاعات شخصی حساب اینستاگرام کاربر توسط برنامک گردیده است. بدین منظور در بخش 2 به بیان اطلاعات کلی برنامک پرداخته شده، بخش 3 به بررسی جزئیات آسیبپذیریها اختصاص یافته است، در بخش ۴ فعالیت مخرب برنامک به تفصیل شرح داده شده است و در نهایت گزارش دقیقی از آسیبپذیریها و نقایص امنیتی به همراه راهحل آنها در بخش ۵ قابل مشاهده است.
مطابق گزارش مرکز مدیریت و پاسخگویی به رخدادهای امنیتی فاوا همراه اول و بررسی های بعمل آمده توسط مرکز ماهر بدافزار اندرویدی Calendarکه با عنوان یک تقویم ایرانی در شبکههای اجتماعی تبلیغ میشود، بعد از نصب با نام «تقویم ثمین» در فهرست برنامه های نصب شده در تلفن همراه قرار میگیرد. این بدافزار هنگام نصب، هیچ مجوزی را از کاربر درخواست نمیکند اما پس از اجرا، درخواست مجوز دسترسی به تصاویر، رسانه و فایلهای روی دستگاه را دارد.
محققان Quick Heal یک #تروجان جدید اندروید را کشف کردند که شامل قابلیتهای تروجان بانکداری، انتقال تماس، ضبط صدا، ثبت ضربات کلید و فعالیتهای #باجافزار ی است. این بدافزار، برنامههای بانکی محبوب مانند HFC، ICICI، SBI، Axis Bank و دیگر کیف پولهای الکترونیکی را هدف قرار داده است.
اپراتور این بدافزار برای موفقیت در حمله، نیاز به تعامل بیشتری با کاربر دارد و تا زمان دسترسی به مجوز "AccessibilityService"، صفحهی تنظیمات دسترسی را به کاربر نمایش میدهد. داشتن قابلیت "AccessibilityService" به این بدافزار اجازه میدهد تا بدون نیاز به اجازهی کاربر، به همهی مجوزها دسترسی پیدا کند.
شرکت گوگل از سال 2015 اقدام به عرضه اصلاحات امنیتی برای سیستمعامل اندروید نموده است که هر ماه بروز میشوند. به همین منظور برخی از شرکتهای تولیدکننده دستگاههای مبتنی بر این سیستمعامل نیز اقدام به عرضه وصلههای (Patches) امنیتی بهصورت ماهانه میکنند. اخیراً گوگل اصلاحیه جدیدی برای آسیبپذیری موجود در Quadrooter عرضه داشته است.... بیشتر